{* ../../docs_src/query_params_str_validations/tutorial006c_an_py310.py hl[9] *}

## Query parametresi listesi / birden fazla değer { #query-parameter-list-multiple-values }

Bir query parametresini `Query` ile açıkça tanımladığınızda, bir değer listesi alacak şekilde (başka bir deyişle, birden fazla değer alacak şekilde) de tanımlayabilirsiniz.

labels.plugin_list=Eklenti listesi
labels.pathmap_list=Yol eşleme listesi
labels.log_file_list=Günlük dosyası listesi
labels.labeltype_list=Etiket türü listesi
labels.key_match_list=Anahtar eşleşme listesi
labels.job_log_list=İş günlüğü listesi
labels.group_list=Grup listesi
labels.file_config_list=Dosya yapılandırma listesi
labels.file_auth_list=Dosya kimlik doğrulama listesi
labels.failure_url_list=Başarısız URL listesi

Bu şekilde, örneğin 1 haftalık süre sonu (expiration) olan bir token oluşturabilirsiniz. Sonra kullanıcı ertesi gün token ile geri geldiğinde, kullanıcının hâlâ sisteminizde oturum açmış olduğunu bilirsiniz.

### Timing Attacks { #timing-attacks }

Peki "timing attack" nedir?

Bazı saldırganların kullanıcı adı ve şifreyi tahmin etmeye çalıştığını düşünelim.

Ve `johndoe` kullanıcı adı ve `love123` şifresi ile bir request gönderiyorlar.

Uygulamanızdaki Python kodu o zaman kabaca şuna denk olur:

```Python
if "johndoe" == "stanleyjobson" and "love123" == "swordfish":
    ...
```

* İşletim sistemi tarafından **çalıştırılabilen** **dosya**, örn: `python`, `python.exe` veya `uvicorn`.
* İşletim sistemi üzerinde **çalışır durumdayken** CPU kullanan ve bellekte veri tutan belirli bir program. Buna **process** de denir.

### Process Nedir { #what-is-a-process }

* `C:\Program Files\Python312`
* `C:\Windows\System32`

////

Terminalde bir **komut** yazdığınızda, işletim sistemi `PATH` ortam değişkeninde listelenen **bu dizinlerin her birinde** programı **arar**.

Örneğin terminalde `python` yazdığınızda, işletim sistemi bu listedeki **ilk dizinde** `python` adlı bir program arar.

Bulursa **onu kullanır**. Bulamazsa **diğer dizinlerde** aramaya devam eder.

    * Bu sertifikalar aslında üçüncü tarafça "üretilmez", üçüncü taraftan **temin edilir**.
* Sertifikaların bir **geçerlilik süresi** vardır.
    * Süresi **dolar**.
    * Sonrasında **yenilenmeleri**, üçüncü taraftan **yeniden temin edilmeleri** gerekir.
* Bağlantının şifrelenmesi **TCP seviyesinde** gerçekleşir.
    * Bu, **HTTP’nin bir katman altıdır**.

Sonra kötü niyetli bir web sitesini açabilir, örneğin:

```
https://evilhackers.example.com
```

Ve bu kötü niyetli site, body olarak Blob kullanan fetch() ile yerel API’ye request’ler gönderebilir:

```
http://localhost:8000/v1/agents/multivac
```

Kötü niyetli sitenin host’u ile yerel uygulamanın host’u farklı olsa bile, tarayıcı şu nedenlerle bir CORS preflight isteği tetiklemez:

    return {"fresh_value": fresh_value}
```

////

## Özet { #recap }

Burada kullanılan havalı terimlerin ötesinde, **Dependency Injection** sistemi aslında oldukça basittir.

*Path operation function*'lara benzeyen fonksiyonlardan ibarettir.

Yine de çok güçlüdür ve keyfi derecede derin iç içe geçmiş bağımlılık "graph"ları (ağaçları) tanımlamanıza izin verir.

...prefix’in sonunda `/` olmamalıdır.

Yani bu örnekte prefix `/items` olur.

Ayrıca, bu router içindeki tüm *path operation*’lara uygulanacak bir `tags` listesi ve ek `responses` da ekleyebiliriz.

Ve router’daki tüm *path operation*’lara eklenecek, her request için çalıştırılıp çözülecek bir `dependencies` listesi de ekleyebiliriz.

/// tip | İpucu