Ile kont umożliwiających polaczenie z baza danych. Jedno czy tyle ile uzytkownikow? Opcje

[areekz]

Jak powinno sie projektować aplikacje internetową i jakie rozwiązania stosuję się najczęściej. Przykładem może być aplikacja gdzie dostęp mają 2 grupy użytkowników (administratorzy i zwykli uzytkownicy). I teraz: czy tworzone są konta w bazie danych o odpowienich uprawnieniach, np ograniczając użytkowników tylko do wyszukiwania danych itd. Czy raczej nie stosuje sie takich zabezpieczeń i wszyscy łączą sie z bazą na tym samym loginie i haśle a osobne loginy i hasla uzytkownikow zapisane sa w tabeli bazy danych. Ten drugi przyklad jest czesto pokazywany w roznych ksiazkach, ale w takim ukladzie tworzenie widokow(view) i ograniczen wykonywania operacji na tabelach bazy danych nie ma sensu.

[tort]

Najlepiej by było, gdyby każdy z użytkowników miał swoje konto z odpowiednimi uprawnieniami w ramach systemu bazodanowego. Niestety bardzo często jest tak, że firmy hostingowe wymuszają korzystanie tylko z jednego konta, które siłą rzeczy musi mieć maksymalne dostępne uprawnienia.

[orson]

witam

Najlepiej by było, gdyby każdy z użytkowników miał swoje konto z odpowiednimi uprawnieniami w ramach systemu bazodanowego.

ale nie w aplikacjach www (IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) powinien być podział na grupy ... author, user, admin i różne modyfikacje ... author ma zapis do wybranych tabel, user nie ma, a admin ma wszystko

pozdrawiam

[kszychu]

witam
ale nie w aplikacjach www (IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) powinien być podział na grupy ... author, user, admin i różne modyfikacje ... author ma zapis do wybranych tabel, user nie ma, a admin ma wszystko

pozdrawiam

A po co? Przecież wystarczy by aplikacja zajęła się uprawnieniami do poszczególnych modułów. Daje to bardziej elastyczną strukturę, łatwą do rozbudowy.
Dla danego serwisu użytkownik w bazie powinien być jeden.

[orson]

witam

dodatkowe zabezpieczenie w postaci braku prawa do insertów w treść artykułów na pewno nie zaszkodzi ... no i sql injection bez prawa zmian nie za wiele zdziała ...

pozdrawiam

[Zbłąkany]

areekz jakoś nie wydaje mi się, aby każde konto w sewisie musiało mieć swój własny login i hasło do db (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Ciekawe jakbyś miał 10000 użytkowników to gdzie byś trzymał ich loginy i hasła, żeby sprawdzić, czy dany użytkownik istnieje, może się zalogować itd. Pomijając sam fakt, że trzebaby wymyślić jakiś sprytny sposób na loginy i hasła do bazy danych. Przy 100 użytkownikach nie ma problemu, ale jak użytkowników będzie powyżej 10000 to co wtedy? Baza puchnie, a większość użytkowników i tak po pewnym czasie przestaje odwiedzać serwis (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) . Ja bym się raczej skłonił w stronę użytkowników sql ale dla samych grup (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Masz grupę administratorzy i do niej konto sql z pewnymi prawami, użytkownicy, tylko możliwość przeglądania danych i ewentualnie, aktualizacji ankiet czy jakiś innych dodatków (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) . Takie rozwiązanie jest wydajne i z reguły grup nie ma więcej jak 20 (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) , a dodatkowo można zawsze w ramach grupy też wprowadzać ograniczenia (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) .