2
在几个框架(symfony/Django)中,您有管理生成器,通常通过用户表(它将用户分配到指定的组表)来控制访问。CRUD管理员:为什么不使用MySQL用户进行auth/acl而不是用户/组表?
我很好奇,为什么不简单地使用MySQL的实际用户(选择/读/写访问已经出炉)呢?
A
回答
1
另一个没有列出的好理由是MySQL用户名/密码以明文形式存储在配置文件中。您的代码中可能存在一个漏洞,允许用户读取文本文件,然后该文件可以立即访问黑客而不必破坏密码哈希。让您的数据库远程访问是严重的安全隐患,PCI-DSS禁止使用该数据库。
另一个很好的原因是,为了添加新帐户或更改密码,您的Web应用程序需要ROOT访问权限,这是您可以做的最糟糕的事情之一。在许多数据库(包括mysql)中,这使黑客很容易将sql注入漏洞转化为完全远程代码执行(如上传.php文件)。
1
我推测会有一个原因,许多ISP为您的mysql数据库提供只有一个用户帐户(没有额外的费用),因此,这样的说法是行不通的,因为每个人都有相同的特权。
这里的魔力是最低公分母和易于部署的尽可能宽和最低要求在服务器管理。
0
我想大多数人都有点吝啬,他们的应用程序的MySQL用户有能力为新的MySQL用户创建和授予权限,特别是在共享主机环境中。处理起来并不难,它将所有内容都保存在一个数据库表中,并且您可以拥有任何您想要的权限。
相关问题
- 1. 由用户而不是管理
- 2. Inno Setup为登录用户(不是管理员用户)创建注册表项
- 3. 使用管理员用户运行javaservice
- 4. 使用Pundit for Rails 5使用两个不同的用户表进行授权(用户和管理员)
- 5. 让只有管理员用户输入playframework管理CRUD区域
- 6. tfs - 删除自己的用户而不是管理员
- 7. 阻止某个用户使用角色Sitecore客户端通过管理管理员帐户进行管理
- 8. 为什么我有debian-sys-maint而不是mysql root用户?
- 9. 使用ParseRoles管理组中的管理员用户角色
- 10. Django中不同组织中的管理员,用户和组
- 11. php管理员和用户帐户不起作用
- 12. 检查进程用户是否为管理员C++
- 13. Mean.js:添加用户只能由管理员用户访问的CRUD模块
- 14. 应用程序不识别用户作为管理员
- 15. WCF/Silverlight:为什么要使用ChannelFactory而不是客户端?
- 16. 用管理员帐户
- 17. Django管理员用户
- 18. 调用命令运行作为管理员OK,但不作为当前用户
- 19. 检查管理员用户不使用JEDI
- 20. 使用System.DirectoryServices.AccountManagement列出本地管理员不检索域用户
- 21. 为什么要在CakePHP中使用ACL而不是使用用户级功能进行身份验证?
- 22. 管理员用户的MVC用户管理
- 23. 在Delphi中使用LDAP或ADSI进行用户帐户管理
- 24. 为什么使用str.chatAt(0)而不是str [0]进行优化?
- 25. 为管理员用户创建迁移
- 26. 作为管理员添加AD用户
- 27. Firebase管理员和用户帐户
- 28. 新票不适用于组织帐户管理员
- 29. 为什么这个用户代理不断询问favicon.ico而不是别的
- 30. 为什么不总是使用循环数组deques而不是数组列表?