Verständnisfrage Zugriffsrecht SQL-DB

Hallo Leute,

mir ist da etwas nicht ganz klar mit den Zugriffsrechten.
Ich möchte drei Gruppen:
1. der Internetanwender der Zugriff auf verschiedene Views erhält
2. der Internetanwender der nach einem Login Daten verändern darf
3. der Admin der Zugriff auf alles hat.
Wenn ich jetzt die Benutzer der 2. Gruppe einrichte, können sie die
Verbindung zur Datenbank nur noch mit Kennwort herstellen.
Ist es denn sicher genug das Kennwort in einer Session mitzuspeichern?
Ich will ja im PHP-Script kein Kennwort festlegen...
Stehe wohl wieder total auf dem Schlauch :-)

Danke mal wieder im Vorraus!
Gruß Christopher

Re: Verständnisfrage Zugriffsrecht SQL-DB

Christopher Jensen schrieb:

> mir ist da etwas nicht ganz klar mit den Zugriffsrechten.
> Ich möchte drei Gruppen:
> 1. der Internetanwender der Zugriff auf verschiedene Views erhält
> 2. der Internetanwender der nach einem Login Daten verändern darf
> 3. der Admin der Zugriff auf alles hat.

Die verwaltest du mit PHP. Das sind keine MySQL-User!
Beide Gruppen können allerdings völlig übereinstimmen.

MfG
Niels

--
A Microsoft Certified Systems Engineer is to computing what
a McDonalds Certified Food Specialist is to fine cuisine. [Slashdot
..sig]

Re: Verständnisfrage Zugriffsrecht SQL-DB

"Niels Braczek" schrieb im Newsbeitrag
news:cum4dp$9ia$03$1@news.t-online.com...

> Die verwaltest du mit PHP. Das sind keine MySQL-User!
> Beide Gruppen können allerdings völlig übereinstimmen.
>
> MfG
> Niels

Es ist mir eigentlich schon klar wie ich das über PHP realisieren könnte.
Aber wenn es jemand darauf anlegt, kann er doch meine PHP-Scripte
ansehen, und dementsprechend hat er Informationen wie er da was
manipulieren kann.
Ich mache mir Gedanken wie ich das Hacken verhindern kann.
Ist es also ausreichend sicher auch ein Kennwort in der Session zu speichern
und als Variable einzubinden?

Gruß Christopher

Re: VerständnisfrageZugriffsrecht SQL-DB

Christopher Jensen schrieb:

Moin,

>> Die verwaltest du mit PHP. Das sind keine MySQL-User!
>> Beide Gruppen können allerdings völlig übereinstimmen.

> Es ist mir eigentlich schon klar wie ich das über PHP realisieren könnte.
> Aber wenn es jemand darauf anlegt, kann er doch meine PHP-Scripte
> ansehen, und dementsprechend hat er Informationen wie er da was
> manipulieren kann.

Binde ein Include-File ausserhalb des Document-Root mit dem schützenswerten
Inhalt ein.

> Ich mache mir Gedanken wie ich das Hacken verhindern kann.
> Ist es also ausreichend sicher auch ein Kennwort in der Session zu
> speichern und als Variable einzubinden?

Wieso willst Du das Kennwort in der Session speichern?
Du speicherst in der Session den Status eingeloggt oder nicht (z.b. Userid),
nachdem du das Passwort des Users überprüft hast.

Christoph

Re: Verständnisfrage Zugriffsrecht SQL-DB

> Binde ein Include-File ausserhalb des Document-Root mit dem
> schützenswerten
> Inhalt ein.

Das Include-File kann man doch auch einsehen. Ich gehe wie gesagt davon
aus das man es darauf anlegt die PHP-Scripte einzusehen... das gilt nicht
für den "Normalanwender".

>> Ich mache mir Gedanken wie ich das Hacken verhindern kann.
>> Ist es also ausreichend sicher auch ein Kennwort in der Session zu
>> speichern und als Variable einzubinden?
>
> Wieso willst Du das Kennwort in der Session speichern?
> Du speicherst in der Session den Status eingeloggt oder nicht (z.b.
> Userid),
> nachdem du das Passwort des Users überprüft hast.

> Christoph

Wenn ich für die SQL-Datenbank selbst Benutzerrechte vergebe, habe
ich doch nur Zugriff per Benutzername, Host, Kennwort!
Ich meine nicht die Benutzer die ich in einer SQL-Tabelle festlege. Da ist
es
soweit klar mit dem einloggen usw...

Gruß Matthias

Re: VerständnisfrageZugriffsrecht SQL-DB

Christopher Jensen schrieb:

Moin,

>> Binde ein Include-File ausserhalb des Document-Root mit dem
>> schützenswerten
>> Inhalt ein.
>
> Das Include-File kann man doch auch einsehen. Ich gehe wie gesagt davon
> aus das man es darauf anlegt die PHP-Scripte einzusehen... das gilt nicht
> für den "Normalanwender".

Wenn man das Include-File das ausserhalb des Document-Roots liegt einsehen
kann würde ich schleunigstens den Hoster wechseln.
Wenn du die Passworter gehash't dort ablegst kann sie auch niemand
entschlüsseln, oder sie ermitteln ohne enormen Aufwand.

>>> Ich mache mir Gedanken wie ich das Hacken verhindern kann.
>>> Ist es also ausreichend sicher auch ein Kennwort in der Session zu
>>> speichern und als Variable einzubinden?
>>
>> Wieso willst Du das Kennwort in der Session speichern?
>> Du speicherst in der Session den Status eingeloggt oder nicht (z.b.
>> Userid),
>> nachdem du das Passwort des Users überprüft hast.

> Wenn ich für die SQL-Datenbank selbst Benutzerrechte vergebe, habe
> ich doch nur Zugriff per Benutzername, Host, Kennwort!
> Ich meine nicht die Benutzer die ich in einer SQL-Tabelle festlege. Da ist
> es
> soweit klar mit dem einloggen usw...

Ich meinte das auch nicht.
Ich meinte User die Du mit PHP verwaltest für deinen
Administrations/Userbereich.

Christoph