[PHP] Metodo migliore per fare login a un DB Mysql

Discussione in 'PHP' iniziata da Marco Ginato, 4 Settembre 2018.

  1. Marco Ginato

    Marco Ginato Nuovo Utente

    Registrato:
    4 Settembre 2018
    Messaggi:
    1
    Mi Piace Ricevuti:
    0
    Punteggio:
    1
    Sesso:
    Maschio
    Ciao a tutti, vi scrivo per avere dei consigli su quale sia le differenze (anche in termini di sicurezza) tra 2 modi di fare login a un DB.
    1) Metodo classico dove la connessione viene fatta impostando manualmente i dati (solitamente user "root" e psw "") poi ci si connette alla tabella che contiene tutte le user e password e se coincide con quella immessa dall'utente si accede
    2) Il metodo è eliminare la tabella contenente le credenziali e creare le utenze direttamente dal database. Ad esempio l'utente per collegarsi dovrebbe immettere nel form di login la user root e la psw "" (ovviamente si crea una user aggiuntiva per non usare la root con i permessi limitati)

    Secondo voi qual'e' il metodo piu conveniente da usare anche in termini di sicurezza?
    Ci sono differenze tra i due metodi o sostanzialmente uno vale l'altro?
    Grazie
     
  2. marino51

    marino51 Utente Attivo

    Registrato:
    28 Febbraio 2013
    Messaggi:
    2.550
    Mi Piace Ricevuti:
    126
    Punteggio:
    63
    Occupazione:
    free lance
    Località:
    Lombardia
    é sempre meglio che un utente non abbia le informazioni per accedere direttamente ai "servizi" disponibili (es. database),
    potrebbe accedervi anche con altri mezzi con risultati "sorprendenti" per chi deve correre ai ripari

    meglio sarebbe avere uno user e psw di bassissimo livello che legge solo la tabella utenti
    estrarre da essa le informazioni necessarie ed accedere al db con il nuovo utente e psw, con i diritti che gli conseguono e competono ( solo lettura su certe tabelle, scrittura su altre, cancellazioni dove consentito )

    si possono classificare gli utenti in gruppi in modo da avere i diritti omogenei per tipologia di lavoro

    bisogna comunque prevedere la registrazione di un nuovo utente se fatta online

    la soluzione richiede interventi successivi alla creazione di un nuovo utente per la definizine delle sue "capacità"

    questo per la miglior sicurezza, ma pochissimi lo applicano
     
Sto caricando...

Condividi questa Pagina