【发布时间】:2013-04-08 17:38:03
【问题描述】:
我想知道是否有一种方法可以让只有某些用户能够使用 PHP 从 sql 数据库中删除表,例如只允许管理员添加和删除,而其他用户只能查看它们?
【问题讨论】:
-
您的应用程序中的 MySQL 用户或注册用户?但是,两者都有办法。
-
您使用的是哪个 DBMS?后格雷斯?甲骨文?
标签: php sql administrator
【发布时间】:2013-04-08 17:38:03
【问题描述】:
有可能。
首先,在大多数流行的数据库中,有些用户被授予了某些特权。您可以让一些用户“更好”,允许他们编辑和删除,同时让其他用户“更差”,例如。只允许他们搜索。
您可以通过以特定用户身份连接到数据库来做到这一点。
其次,您可以通过这种方式制作您的 PHP 程序,即注册用户具有某些特定权限,但您在 PHP 端验证它们,始终以“全能用户”身份连接到数据库,但您阻止发送特定权限查询。
很难说哪种方法更好。出于安全原因,我看不出有什么区别,因为这里最薄弱的地方可能是 sql 连接(所以最好以不同的用户登录?)或者 PHP 登录系统(所以如果你失去了全能的用户名和密码其他用户帐户无关紧要)。
【讨论】:
仅使用数据库用户的权限可以防止您的 db-credentials 被其他人查看。以防万一有人能够读取您的 php 文件。可能是在服务器上,或者是否存在安全问题,导致其他人在浏览器中以明文形式查看 php 文件。
【讨论】: