2
在幾個框架(symfony/Django)中,您有管理生成器,通常通過用戶表(它將用戶分配到指定的組表)來控制訪問。CRUD管理員:爲什麼不使用MySQL用戶進行auth/acl而不是用戶/組表?
我很好奇,爲什麼不簡單地使用MySQL的實際用戶(選擇/讀/寫訪問已經出爐)呢?
A
回答
1
另一個沒有列出的好理由是MySQL用戶名/密碼以明文形式存儲在配置文件中。您的代碼中可能存在一個漏洞,允許用戶讀取文本文件,然後該文件可以立即訪問黑客而不必破壞密碼哈希。讓您的數據庫遠程訪問是嚴重的安全隱患,PCI-DSS禁止使用該數據庫。
另一個很好的原因是,爲了添加新帳戶或更改密碼,您的Web應用程序需要ROOT訪問權限,這是您可以做的最糟糕的事情之一。在許多數據庫(包括mysql)中,這使黑客很容易將sql注入漏洞轉化爲完全遠程代碼執行(如上傳.php文件)。
1
我推測會有一個原因,許多ISP爲您的mysql數據庫提供只有一個用戶帳戶(沒有額外的費用),因此,這樣的說法是行不通的,因爲每個人都有相同的特權。
這裏的魔力是最低公分母和易於部署的儘可能寬和最低要求在服務器管理。
0
我想大多數人都有點吝嗇,他們的應用程序的MySQL用戶有能力爲新的MySQL用戶創建和授予權限,特別是在共享主機環境中。處理起來並不難,它將所有內容都保存在一個數據庫表中,並且您可以擁有任何您想要的權限。
相關問題
- 1. 由用戶而不是管理
- 2. Inno Setup爲登錄用戶(不是管理員用戶)創建註冊表項
- 3. 使用管理員用戶運行javaservice
- 4. 使用Pundit for Rails 5使用兩個不同的用戶表進行授權(用戶和管理員)
- 5. 讓只有管理員用戶輸入playframework管理CRUD區域
- 6. tfs - 刪除自己的用戶而不是管理員
- 7. 阻止某個用戶使用角色Sitecore客戶端通過管理管理員帳戶進行管理
- 8. 爲什麼我有debian-sys-maint而不是mysql root用戶?
- 9. 使用ParseRoles管理組中的管理員用戶角色
- 10. Django中不同組織中的管理員,用戶和組
- 11. php管理員和用戶帳戶不起作用
- 12. 檢查進程用戶是否爲管理員C++
- 13. Mean.js:添加用戶只能由管理員用戶訪問的CRUD模塊
- 14. 應用程序不識別用戶作爲管理員
- 15. WCF/Silverlight:爲什麼要使用ChannelFactory而不是客戶端?
- 16. 用管理員帳戶
- 17. Django管理員用戶
- 18. 調用命令運行作爲管理員OK,但不作爲當前用戶
- 19. 檢查管理員用戶不使用JEDI
- 20. 使用System.DirectoryServices.AccountManagement列出本地管理員不檢索域用戶
- 21. 爲什麼要在CakePHP中使用ACL而不是使用用戶級功能進行身份驗證?
- 22. 管理員用戶的MVC用戶管理
- 23. 在Delphi中使用LDAP或ADSI進行用戶帳戶管理
- 24. 爲什麼使用str.chatAt(0)而不是str [0]進行優化?
- 25. 爲管理員用戶創建遷移
- 26. 作爲管理員添加AD用戶
- 27. Firebase管理員和用戶帳戶
- 28. 新票不適用於組織帳戶管理員
- 29. 爲什麼這個用戶代理不斷詢問favicon.ico而不是別的
- 30. 爲什麼不總是使用循環數組deques而不是數組列表?