私はmysqlでユーザを追加および削除するPHPシステムを構築しています。 - ユーザがサイトにログインしようとしました - projectdb.usersのユーザ名とハッシュ(sha256、salt、password)を検索します(mysqlユーザの資格です) - それを見つけてから使用しますログイン時にmysql_connectを実行するためのユーザ名とパスワードPHP経由でadmin mysqlユーザを追加する安全な方法
システムにユーザを追加する際に、資格情報をテーブルに追加し、mysqlユーザとしてprojectdbデータベースに最小限の権限で追加します。
私は管理者アカウントを追加するときに、そのユーザーにデータベースをフルアクセスする権限を与えて、それらにmysqlの付与/追加権限を与えてユーザーを追加できます。これらのユーザはmysqlに直接接続してログインすることはできませんが(もし誰でも追加できたとしても)、あまりにも多くのパワーのようです。
実際にmysqlユーザーをシステムに追加するのではなく、単一のユーザーと管理者のアクセス許可をphpファイルにハードコードする方がよいでしょうか?これら2つのアイデアよりも安全な方法はありますか?
これはウェブアプリケーションの場合、なぜそれらをMySQLユーザーに追加するのですか?これはログ用ですか?私は実際に説得力のある理由なしにユーザーをプログラムとして追加することはできません。 – AlexC
あなたはすべてのユーザーが1つのmysqlユーザーの資格情報を共有できることを知っていますか? –
データベース接続の資格情報は、通常、アプリケーションコードとともに格納されます。アプリケーションアプリケーションを個々のデータベースアカウントに関連付けるのは非常に珍しいことです(Webアプリケーションの場合)。 –