Database meerdere users binnen 1 project?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Ozzie PHP

Ozzie PHP

17/11/2010 15:15:45
Quote Anchor link
Ik ben bezig met het opzetten van een framework waaraan uiteindelijk een backend en frontend komen te hangen. Nu wil ik een database class gaan maken.

Is het verstandig, vanuit het oogpunt van veiligheid (hacking, SQL injection), om meerdere database users te gebruiken? Bijvoorbeeld een "eenvoudige" user die uitsluitend SELECT en UPDATE query's mag uitvoeren en een uitgebreide user die ook DELETE query's mag uitvoeren.

En zou je voor de backend en frontend verschillende database users gebruiken (ook weer vanuit het oogpunt van veiligheid) of gewoon dezelfde?

Kortom, mijn vraag is of het verstandig is om verschillende database users te gebruiken binnen 1 systeem, of heeft dit geen toegevoegde waarde?
 
PHP hulp

PHP hulp

22/12/2024 07:58:49
 
- Ariën  -
Beheerder

- Ariën -

17/11/2010 15:19:00
Quote Anchor link
gewoon dezelfde users, en GEEN delete rechten geven.
Flag items in je database liever als 'deleted' met een 0 of een 1.
 
Jordi Kroon

Jordi Kroon

17/11/2010 15:19:09
Quote Anchor link
als je goed beveiligd bent tegen mysql injectie maakt het niks uit
 
Ozzie PHP

Ozzie PHP

17/11/2010 15:23:08
Quote Anchor link
Aar anoniem op 17/11/2010 15:19:00:
gewoon dezelfde users, en GEEN delete rechten geven.
Flag items in je database liever als 'deleted' met een 0 of een 1.

Gewoon dezelfde users... meerdere users of 1 user?

Maar als ik nu echt iets wil deleten? Bijvoorbeeld in het beheer gedeelte? Stel bijvoorbeeld ik wil iets loggen.. bijvoorbeeld hack pogingen waarbij ik telkens de ip adressen opsla. Misschien wil ik dan na een maand die tabel opschonen en de ip adressen weggooien. Ik wil ze dan echt kunnen verwijderen en niet op 0 of 1 zetten. Dus ik zou toch graag delete rechten willen geven eigenlijk.
 
- Ariën  -
Beheerder

- Ariën -

17/11/2010 15:24:46
Quote Anchor link
Dan gebruik je toch in het script die de IP's weggooit een user met meer rechten.
 
Ozzie PHP

Ozzie PHP

17/11/2010 15:29:06
Quote Anchor link
ja, dat kan... maar dat is nu net precies mijn vraag :-|

Is het zinvol om meerdere users met verschillende rechten te gebruiken??
Ik wil straks PDO gaan gebruiken en misschien is dat op zichzelf al meer dan veilig genoeg. Ik heb liever dat ik maar 1 daabase user heb zodat ik niet hoef na te denken welke ik moet gebruiken. Maar is 1 database user veilig genoeg...?
 
Jordi Kroon

Jordi Kroon

17/11/2010 15:36:43
Quote Anchor link
er bestaat een scriptje ( kan niet op de naam komen )

en die stuurt automatisch een bericht naar een email adres als iemand mysql injectie probeert
 
- Ariën  -
Beheerder

- Ariën -

17/11/2010 15:55:31
Quote Anchor link
Waarom mailen, als je het al veilig voor elkaar hebt.
 
Jordi Kroon

Jordi Kroon

17/11/2010 15:57:35
Quote Anchor link
klopt dat is ook waar ik heb het zelf ook niet maar er bestaat er wel een
 
- Ariën  -
Beheerder

- Ariën -

17/11/2010 16:01:03
Quote Anchor link
is niet zo lastig te maken.
Preg_match op wat leuke gevaarlijke tekens, controle op de gpc-ini-settings, en mailen maar.
 
Ozzie PHP

Ozzie PHP

17/11/2010 16:01:24
Quote Anchor link
Mailen hoeft inderdaad niet als alles veilig is. Mijn enige vraag is dus of ik voldoende heb aan 1 user. Ben er zojuist achter dat ik in mijn admin deel de rechten van de database user niet kan aanpassen, dus ik moet gewoon zorgen dat mijn code gruwelijk veilig is dan maar. Ik wil gaan werken met PDO en volgens mij is dat van zichzelf al behoorlijk veilig toch?
 
- Ariën  -
Beheerder

- Ariën -

17/11/2010 16:09:08
Quote Anchor link
jup, PDO is een goede optie. Vooral als je prepared statements gebruikt.
 
Ozzie PHP

Ozzie PHP

17/11/2010 16:18:12
Quote Anchor link
Oke,thanks... dan wordt het PDO en 1 gebruiker :-)
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.