SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Webseiten professionell erstellen

Webseiten professionell erstellen zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > MySQLi/PDO/(MySQL)

MySQLi/PDO/(MySQL) Anfänger, Fortgeschrittene oder Experten können hier Fragen und Probleme rund um MySQLi/PDO/(MySQL) diskutieren

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 06.04.2010, 17:43:32
Erzengel Erzengel ist offline
Anfänger
 
Registriert seit: Apr 2010
Alter: 46
Beiträge: 31
Neuen User in Mysql Anlegen

Wo bzw Wie ist es besser einen Neuen User anzulegen

1 Möglichkeit in der mysql db in der User Tabelle wo jeder zugriffs User
einen User hat und eine Extra tabelle in der Nutz Datenbank für den Nutzerlevel

2 Möglichkeit nur in der Nutz Datenbank die User anlegen und alle greifen mit den selben
User auf die Datenbank zu

Es würden sowieso Alle User auf der DB Select,Insert,Update,Delete
Rechte auf der kompletten DB bekommen auf welchen Bereich dann
zugegriffen werden darf wird dann über den Level bestimmt.
Mit Zitat antworten
  #2  
Alt 07.04.2010, 08:09:52
Benutzerbild von urvater
urvater urvater ist offline
Senior Member
 
Registriert seit: Feb 2006
Ort: Wallrabenstein
Alter: 55
Beiträge: 1.044
AW: Neuen User in Mysql Anlegen

Wieso einem User mehr Rechte geben als er benötigt? Es ist doch alles eine Frage der Sicherheit.

Stichwort SQL Injektion
Mit Zitat antworten
  #3  
Alt 07.04.2010, 12:03:25
Erzengel Erzengel ist offline
Anfänger
 
Registriert seit: Apr 2010
Alter: 46
Beiträge: 31
AW: Neuen User in Mysql Anlegen

Es ist im Moment eine Frage für das Erstellen
den ein User braucht im Katalog keine Rechte weil dieser hier nicht zugreifen darf
allerdings muss er im Bereich Werkzeuge zugreifen

dieser Bereich Werkzeuge bezieht die Allgemeinen Daten wiederum aus den Bereich Katalog zb. Bestell Nr. Artikell Nr. Bezeichnung Lieferant

wobei die letzten beiden wiederum aus anderen Tabellen stammen.

Andere möglichkeit verschiedene Gruppen zu erstellen.
Mit Zitat antworten
  #4  
Alt 07.04.2010, 12:16:50
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.707
AW: Neuen User in Mysql Anlegen

Wieso willst Du Rechte auf Datenbankebene vergeben? Mit einer ordentlich (von Dir) durchdachten Rechtevergabe auf Applikationsebene und einer damit einhergehenden Useranlage in der Datenbanktabelle sollten Deine Probleme zu lösen sein. Gib niemals mehr Usern Rechte (egal welche) an der Datenbank als unbedingt nötig ist. So bleibt auch der User mit seinen Zugriffsdaten auf die Datenbank im Hintergrund und einem Missbrauch wird stärker vorgebeugt.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #5  
Alt 07.04.2010, 12:38:00
cortex cortex ist offline
SELFPHP Profi
 
Registriert seit: Apr 2008
Alter: 48
Beiträge: 1.938
AW: Neuen User in Mysql Anlegen

Zitat:
Zitat von vt1816 Beitrag anzeigen
Wieso willst Du Rechte auf Datenbankebene vergeben?
habe ehrlich gesagt grosse zweifel, dass ihm der unterschied rechtevergabe db-ebene vs. anwendungsebene bewusst ist... darüber hinaus sind änderungen an der tabelle user bei den meisten isp sowieso nicht erlaubt; sicher nicht ohne guten grund .-

cx
Mit Zitat antworten
  #6  
Alt 07.04.2010, 20:44:44
Erzengel Erzengel ist offline
Anfänger
 
Registriert seit: Apr 2010
Alter: 46
Beiträge: 31
AW: Neuen User in Mysql Anlegen

Zitat:
unterschied rechtevergabe db-ebene vs. anwendungsebene bewusst ist.
Hoffe ich liege jetzt Richtig

Ein User kann zwar auf Datenbank ebene für sämtliche Tabellen select, insert usw. Rechte erhalten
Diese kann ich innerhalb der Anwendung durch Script Technische Sicherungen einschränken
so das der User nur das machen kann was ihm laut Programm erlaubt ist

Hoffe das ist Verständlich und auch Richtig

Nur das Richtige zu wählen und alles durchzudenken ist nicht leicht wenn man
es zum ersten mal macht. Dies natürlich Zukunftskonform zu gestalten und später auch
wirklich arbeiten zu können ohne das man andere Scripte dafür benötigt (phpmyadmin).
Erschwert die Sache natürlich.

Die möglichkeit dies ganze einfach hinzufetzen und immer wieder daran rumzuwerkeln und
hinzubasteln wäre nur Arbeitsbeschaffung.
Mit Zitat antworten
  #7  
Alt 08.04.2010, 08:10:48
Benutzerbild von urvater
urvater urvater ist offline
Senior Member
 
Registriert seit: Feb 2006
Ort: Wallrabenstein
Alter: 55
Beiträge: 1.044
AW: Neuen User in Mysql Anlegen

Nein da hast du mich zumindest nicht ganz richtig verstanden.

Du kannst einem User in MysSql globale und DB spezifische Rechte geben.
global muss der User keine Rechte besitzen, wenn dies nicht notwenig ist.
Dann kannst du einem User Rechte für eine bestimmte DB zuweisen.

Nun muss dieser User ja nicht zwingend alle Rechte für diese DB benutzen.
Für die allgemeinen Abfragen kann man somit einen User einrichten, der "nur" SELECTS ausführen darf. Ein zweiter darf nur INSERT absetzen und ein Dritter nur UPDATES.

Würde, bei schlechter Formularfeldprüfung, nun jemand einen SELECT manipulieren (User hat nur Select-Rechte), würde zwar ein SELECT ausgeführt werden aber kein INSERT oder UPDATE. Einige SELECTS würden nicht funktionieren, weil der User nicht die Rechte für die DB hat. Etc. etc.

Das Beispiel hier ist relativ oberflächlich beschrieben. Es ist halt nur ein Beispiel.
PS: Per PHP kann man die Userrechte nicht einschränken ohne die Rechte in MySql selbst zu verändern.
Mit Zitat antworten
  #8  
Alt 08.04.2010, 11:10:05
Erzengel Erzengel ist offline
Anfänger
 
Registriert seit: Apr 2010
Alter: 46
Beiträge: 31
AW: Neuen User in Mysql Anlegen

Zitat:
Zitat von urvater Beitrag anzeigen
PS: Per PHP kann man die Userrechte nicht einschränken ohne die Rechte in MySql selbst zu verändern.
Mittels einer Variablen hier einmal $DarfIch kann ich in php prüfen ob dieser hier auch was machen darf

wenn ich eine IF abfrage mache
PHP-Code:
IF ($DarfIch=="Eingaben")
{
      ECHO 
"Hier Darf eingegeben werde";
}
ELSE
{
      ECHO 
"Keine Eingabe erlaubt";

So kann ich unabhängig von MYSQL auch noch rechte führen.
Dies wäre dann Anwendungsgesteuert und nicht mehr Datenbank gesteuert.
Wenn ich dies rein Anwendungsgesteuert mache brauche ich in MYSQL nur einen
oder nur Gruppen User anzulegen die über die notwendigen Rechte
glaub die kann man sogar bis auf die Spalte hinunter ziehen
Mit Zitat antworten
  #9  
Alt 08.04.2010, 13:39:02
Benutzerbild von urvater
urvater urvater ist offline
Senior Member
 
Registriert seit: Feb 2006
Ort: Wallrabenstein
Alter: 55
Beiträge: 1.044
AW: Neuen User in Mysql Anlegen

Und was passiert, wenn jemand per Formular ein SELECT auf die Tabelle XY durchführen darf? Also auch deine PHP Abfrage ergibt, daß der aktuelle User ein Select absenden darf.

Nun kommt ein Lausbub und hat mal was über SQL Injektion gelesen und macht aus deinem Select was ganz anderes oder ein SELECT auf eine andere Tabelle als er eigentlich lt. PHP darf?
Das Recht hätte der User in MySql schon, da du ihm dort alles erlaubt hast.

Bedenke, daß Rechte in PHP sicher sinnvoll sind. Ein Forum ist dafür der beste Beweis.
Rechte in MySQl sind aber eine andere Baustelle.
Mit Zitat antworten
  #10  
Alt 09.04.2010, 13:13:55
Erzengel Erzengel ist offline
Anfänger
 
Registriert seit: Apr 2010
Alter: 46
Beiträge: 31
AW: Neuen User in Mysql Anlegen

Generell gilt die Frage wie Sicher muss es sein

Am Sichersten ist es wohl den Rechner/Server gar nicht aufzudehen und ans Netz
zu hängen

Das nächste was recht sicher ist

ist dieses neue was erst erfunden wird

http://www.wer-weiss-was.de/theme204...le2541470.html

Entweder werden mehrere User in einer Gruppe zusammen gefasst

oder Wenn es recht Sicher sein soll
jeden einzelnen User nur die
Rechte eingestehen die er auch benötigt heist ich muss jeden Einzelnen
User auf Spalten Ebene die Rechte verteilen
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Brauche Hilfe Partygirl MySQLi/PDO/(MySQL) 10 01.03.2011 09:18:11
FTP User in mysql DB silver_flame MySQLi/PDO/(MySQL) 1 03.07.2007 22:50:26
Mysql User mit besonderen rechten? IceMan MySQLi/PDO/(MySQL) 4 19.06.2007 00:28:48
MySQL Page Script. Problem. dtone MySQLi/PDO/(MySQL) 8 15.10.2006 15:58:06
Das soll nach 1 h ausgeführt werden! Spike15 PHP Grundlagen 12 04.04.2005 17:29:57


Alle Zeitangaben in WEZ +2. Es ist jetzt 11:41:43 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt