Enlaces
Esta en:

documentos
Arriba
Bind-9
Bind-8
Ad+bind
Dhcp
Kdephp
Shell
Trucos
Php
Documentos
Cuestiones php
Fedora
Legal
W2000 xp
COMOS
Errores dns

Re: [PHP-ES] Recomendación sobre uso de usuario y password para conexión con la base datos.

Write haof XML files: Gerardo Benitez <gerardobenitez_at_gmail.com>
Fecha: Mon, 1 Oct 2007 07:31:09 -0300

Es verdad lo que decis sobre si alguien tiene acceso al archivo donde tenes
la información. lo que ocurre es que generalmente esa información para darle
mayor seguridad a la aplicación deberias ponerla en un archivo .php por lo
menos, de ese modo no lo van a poder acceder por medio de la url.

Por otro lado la información de acceso siempre la pones en un archivo solo
que despues lo incluis en los otros, o sea que no tendrias que distribuir tu
info de contacto a la db en cada archivo.

Yo creo que la información de conexión a la base de este modo esta
aceptablemente segura, pero me gustaria que opinen los que saben sobre
seguridad.

On 10/1/07, Pablo Braulio <brulics_at_gmail. com> wrote:
>
> El 1/10/07, Gerardo Benitez <gerardobenitez_at_gmail.com> escribió:
> > Hola Pablo, según lo que contas parece que estas confundiendo los tipos
> de
> > usuario. Por un lado tendrias los usuarios de tu aplicación, que solo
> > tendrían acceso a la información que le brinde tu aplicación, y por otro
> > tenes los usuarios que se conectan a tu base de datos.
> >
> > El usuario que se conecta a la base de datos es un usuario interno a la
> > aplicación, y no deberian conocerlo los usuarios de tu aplicación, a
> menos
> > que tu aplicación sea para administrar la base de datos.
> >
> > Los usuarios de la aplicación yo los guardo en una tabla de la base de
> > datos, siempre. Despues de un usuario se loguea en la aplicación guardo
> su
> > id y su nro de permisos en una variable de session, y lo uso para
> consultar
> > en caso que quiera ingresar a un area que requiere permisos.
> >
> > Bueno, creo que esa es un poco la idea.
> >
> > Saludos.
> >
> >
> > --
> > Gerardo Benitez
> >
>
> Hola Gerardo.
>
> Entiendo lo que dices, y es lo que he estado haciendo hasta ahora,
> pero me han surgido dudas.
>
> Haciendo como tu dices, que es igual que yo lo he hecho hasta ahora,
> tienes en algún script de php donde recoges el host, basedatos, user,
> password para usar la función pg_connect o mysql_connect (dependiendo
> el caso). Realmente eso no me gusta mucho, pues si por lo que sea
> alguien tiene acceso a dicho archivo la hemos liado.
>
> Había pensado que usando los usuarios del sistema (postgres) podría
> ser mas apropiado, pues de ese modo no lo pones en ningún script y
> puedes establecer roles y permisos a determinadas tablas. Es sólo una
> idea.
> --
> Saludos.
> Pablo.
>

-- 
Gerardo Benitez
----------------------------------------------------------------------
mercadoagil.com.ar
webseficientes.com.ar
tips y articulos para desarrolladores web
----------------------------------------------------------------------
Nearby lun oct 01 2007 - 18:23:02 CEST

Este archivo fue generado por hypermail 2.2.0 : mié nov 07 2007 - 20:55:37 CET


Página Principal
Google

Web
dns.bdat.net

Visita nuestro proveedor:
www.bdat.net

Publicidad:

Impresenteibols:Humor Jazz, música en vivo