| |
автор: Валерий Понюшкин (27.01.2008 в 22:27) |
|
| | Задача: сделать так, чтобы плохие дяденьки не могли написать чего нехорошего в БД, начитавшись php-файлов с запросами к БД.
Обстоятельства: за каждого нового пользователя в моем хостинг-провайдере надо платить деньги, то есть GRANT PRIV. не проходит
Как Вы поступаете? Пишете отдельный .php файл, в котором пишете что-то вроде
$host = "host";
$user = "vasya";
$password = "pass";
|
, а потом include его в файл, где есть запрос к БД?
Вы так делаете? А как по другому?
Какие права вы назначаете на такие файлы (у меня UNIX-хостинг), а вообще на все скрипты? Такие файлы можно просто хранить в другой директории (того же уровня), или это должно быть что-то уровнем выше? | |
| |
|
|
| |
|
|
| |
для: Валерий Понюшкин
(27.01.2008 в 22:27)
| | | up! | |
| |
|
|
| |
|
|
| |
для: Валерий Понюшкин
(27.01.2008 в 22:27)
| | | >Обстоятельства: за каждого нового пользователя в моем хостинг-провайдере надо платить деньги,
А зачем Вам надо заводить нового пользователя БД?
Задача непонятна. | |
| |
|
|
| |
|
|
| |
для: Faraon
(28.01.2008 в 21:45)
| | | Суть в том, что тот пользователь (назовем его user), который находится сейчас у меня в распоряжении имеет права и на удаление таблиц и БД, и на создание новых.
Ведь хакер может скачать файл, в котором происходит обращение к БД? Так? А там в коде черным по белому, предположим, написано:
@mysql_connect('localhost', 'username', 'password') or die ("Не подключился");
@mysql_select_db('database') or die ("Нет такой БД");
Если хакер скачивает файл с такими строками и смотрит его через блокнот, то у него в руках вся база.
Хотелось бы создать двух пользователей с правами только на чтение и только на вставку в определенные таблицы, чтобы если где и упущу дырку, было бы не подкопаться. | |
| |
|
|
| |
|
|
| |
для: shelloff
(29.01.2008 в 19:53)
| | | up | |
| |
|
|
