S**********s
发帖数: 2033 | 1 我想给一个travel agent搞个数据库管理,用的是PHP(什么语言不是关键)。
一方面travel agent要修改数据内容,程序里访问数据库需要一套数据库用户和密码;
另一方面访问该网站的任何人想浏览房间信息,程序里访问数据库也需要一套数据库用
户和密码。
我不懂的问题是:
为了数据库安全,请问这两套用户和密码是不是应该不一样的?我正在用godaddy,一个
数据库不让设两个用户,请问这种情况下有没有什么好的办法实现数据库安全管理啊?
多谢多谢!必有大包子致谢! |
B*****g
发帖数: 34098 | 2 没明白,用户访问密码和数据库密码有什么关系?
【在 S**********s 的大作中提到】
: 我想给一个travel agent搞个数据库管理,用的是PHP(什么语言不是关键)。
: 一方面travel agent要修改数据内容,程序里访问数据库需要一套数据库用户和密码;
: 另一方面访问该网站的任何人想浏览房间信息,程序里访问数据库也需要一套数据库用
: 户和密码。
: 我不懂的问题是:
: 为了数据库安全,请问这两套用户和密码是不是应该不一样的?我正在用godaddy,一个
: 数据库不让设两个用户,请问这种情况下有没有什么好的办法实现数据库安全管理啊?
: 多谢多谢!必有大包子致谢!
|
S**********s
发帖数: 2033 | 3 当用户想知道一个房间的信息,这个信息要从数据库里获取,在php 源代码里不是要用
到数据库用户密码信息吗?难道是我不对?
【在 B*****g 的大作中提到】
: 没明白,用户访问密码和数据库密码有什么关系?
|
B*****g
发帖数: 34098 | 4 你是说你要2个db的user/pw,每个有不同的权限?
【在 S**********s 的大作中提到】
: 当用户想知道一个房间的信息,这个信息要从数据库里获取,在php 源代码里不是要用
: 到数据库用户密码信息吗?难道是我不对?
|
w*****g
发帖数: 1415 | 5 Travel agent uses the back end of your program and INTERNET users use the
front end. Am I right? If yes you should use only one acct of mysql for your
program. |
s****y
发帖数: 983 | 6 数据库的配置是全局的,一个db账户和密码,也就是说服务器上的每个脚本都可能获取
所有的数据,但是根据前端登陆用户的role不同,authorization也不同,来决定脚本
返回什么样的数据customer可以用,什么样的数据agent可以用
如果用php,可以参考zend framework的acl
【在 S**********s 的大作中提到】
: 当用户想知道一个房间的信息,这个信息要从数据库里获取,在php 源代码里不是要用
: 到数据库用户密码信息吗?难道是我不对?
|
S**********s
发帖数: 2033 | 7 我是这么构思的,不知道对不对
【在 B*****g 的大作中提到】
: 你是说你要2个db的user/pw,每个有不同的权限?
|
S**********s
发帖数: 2033 | 8 不是。travel agent和web surfer都是 at the front end。
your
【在 w*****g 的大作中提到】
: Travel agent uses the back end of your program and INTERNET users use the
: front end. Am I right? If yes you should use only one acct of mysql for your
: program.
|
S**********s
发帖数: 2033 | 9
好像要说到点上了。在不影响web surfer获取相关信息的前提下,怎么防止这个全局的
帐号和密码被人轻易地hack掉?如果不设htaccess密码,源代码是很容易被别人看到,
可怕的是db的帐号和密码就暴露无遗了。如果设了htaccess密码,web surfer就访问不
到相关网页了。
:但是根据前端登陆用户的role不同,authorization也不同,来决定脚本
前面我的糊涂意识得不到解答,要理解这个很有难度啊
谢谢,我去看看
【在 s****y 的大作中提到】
: 数据库的配置是全局的,一个db账户和密码,也就是说服务器上的每个脚本都可能获取
: 所有的数据,但是根据前端登陆用户的role不同,authorization也不同,来决定脚本
: 返回什么样的数据customer可以用,什么样的数据agent可以用
: 如果用php,可以参考zend framework的acl
|
s****y
发帖数: 983 | 10 htaccess密码保护的是相关网页,而不是源码,经过web服务器的处理,用户得到的是
源码生成的html代码,除了漏洞,根本看不到后台配置。
我想做一个实例你就明白了
【在 S**********s 的大作中提到】
:
: 好像要说到点上了。在不影响web surfer获取相关信息的前提下,怎么防止这个全局的
: 帐号和密码被人轻易地hack掉?如果不设htaccess密码,源代码是很容易被别人看到,
: 可怕的是db的帐号和密码就暴露无遗了。如果设了htaccess密码,web surfer就访问不
: 到相关网页了。
: :但是根据前端登陆用户的role不同,authorization也不同,来决定脚本
: 前面我的糊涂意识得不到解答,要理解这个很有难度啊
: 谢谢,我去看看
|
|
|
s****y
发帖数: 983 | |
S**********s
发帖数: 2033 | 12 哈,应该的,很占用你的时间和精力。
不过我好笨,我还是没搞清楚。
比方说web surfer要查一个房间信息,我这边相对应的文件是rooms.php,保存在query
目录里,就是query/rooms.php了。rooms.php里include了 ../includes/dbconnection
.php, 在dbconnection.php里有db用户密码信息。我用htaccess把includes这个目录保
护起来,这样的结果是web surfer就不能得到相关信息了。
Or did I miss something? Thank you! |
w*****g
发帖数: 1415 | 13 Web surfers are unable to see the SOURCE code of dbconnection.php though
your web host provider is.
query
dbconnection
【在 S**********s 的大作中提到】
: 哈,应该的,很占用你的时间和精力。
: 不过我好笨,我还是没搞清楚。
: 比方说web surfer要查一个房间信息,我这边相对应的文件是rooms.php,保存在query
: 目录里,就是query/rooms.php了。rooms.php里include了 ../includes/dbconnection
: .php, 在dbconnection.php里有db用户密码信息。我用htaccess把includes这个目录保
: 护起来,这样的结果是web surfer就不能得到相关信息了。
: Or did I miss something? Thank you!
|
s****y
发帖数: 983 | 14 include路径一般是在web document之外的,如果不在外面,一般是用htaccess保护起
来,但即使不保护,用户也是看不到你的db配置的(web server的报错除外),举个例
子吧,最简单的数据库连接例子(google来的): |
u**y
发帖数: 202 | 15 我觉得LZ把连接数据库的username and pwd和通过网站访问数据的username and pwd搞
混了。
就像上面sunrey大侠所说:
include路径一般是在web document之外的,如果不在外面,一般是用htaccess保护起
来,但即使不保护,用户也是看不到你的db配置的(web server的报错除外)
而用户和管理员通过网站登陆读取数据的username and pwd的信息是储存在database
某个table里面的
所以用户登陆网站的username and pwd和连接数据库的username and pwd是完全两件事
情。
不知道这么会大lz问题对不对。 |
S**********s
发帖数: 2033 | 16 多谢大家,在你们的提示下,我实验了一下,一个不被htacess保护的网页A,如果网页
A包含被htaccess保护的网页B,外界可以正常访问网页A。我原来以为网页A因为包含了
网页B,也需要密码才能被访问到。
还有,好像我看见有人没有密码的情况下下载过某个网页的php source code. |
n*****n
发帖数: 30 | 17 很简单,你把程序实现的用户访问权限和 数据库访问权限混为一谈了。
设计网站zai 不同的 用户访问的时候 ,你用php取数据用的肯定是一个数据库密码。 |
a******k
发帖数: 1552 | |
