Bezpieczeństwo łączenia się z MySQL Opcje

[WojtasSP320]

Witam!

Mam pytanie odnośnie bezpieczeństwa. Piszę aktualnie aplikację w której BARDZO zależy mi na bezpieczeństwie.

Generalnie w panelu admina robię coś takiego:

1. Sprawdź czy user jest zalogowany
2. Jeśli tak to połącz z bazą (łączy się skrypt znajdujący się poza drzewem www z uprawnieniami 400) i zapisz połączenie do globalnej zmiennej $con
3. W przeciwnym wypadku przekieruj, 403, die i w ogóle umrzyj.
4. Potem dzieje się cały skrypt strony i na końcu (wiem, że nie muszę) robię mysql_close($con)

Moje pytanie brzmi: czy łącząc się w ten sposób (łączenie się na początku, przetrzymywanie połączenia w zmiennej globalnej, trzymanie przez cały skrypt otwartego połączenia) w jakiś wyraźny sposób niesie ze sobą zagrożenie i obniża bezpieczeństwo skryptu niż w wypadku, gdybym co chwila otwierał połączenie, wykonywał zadania na bazie i zamykał za sobą(IMG:style_emoticons/default/questionmark.gif)

Z góry dzięki za jakiekolwiek info.

[darko]

1. Sprawdź czy user jest zalogowany

Nie mając połączenia z bazą? Możesz rozwinąć koncepcję? Chyba nie robisz:

[PHP] pobierz, plaintext 
if($_SESSION["user"] != "") {
// łącz z db
} else {
 die("w ogóle umrzyj (IMG:style_emoticons/default/tongue.gif)  ");
}
[PHP] pobierz, plaintext 

przetrzymywanie połączenia w zmiennej globalnej, trzymanie przez cały skrypt otwartego połączenia

Rozumiem, że łączysz sie przez mysql_pconnect

Odnośnie bezpieczeństwa, to polecam korzystanie z PDO, preparowanie składni i bindowanie parametrów przed wykonaniem zapytania (jeśli poprawnie wykonasz, to jesteś odporny na sql injection).


(IMG:style_emoticons/default/laugh.gif) Rozwaliłeś mnie tym

die i w ogóle umrzyj.

(IMG:style_emoticons/default/laugh.gif)
Pozdrawiam