Cita:
Iniciado por claudiovega Asi es, nadie debiera trabajar con SA o con root, pues aunque no conozcan la estructura de tus tablas las pueden averiguar, por ejemplo en sql server existe una tabla que indica que base de datos hay en el servidor, otra que muestra las tablas de la bd. En mysql tiene una consulta especial que muestra las base de datos, otra que muestra las tablas de la bd, otra que describe los campos de la tabla y si usas para la conexion el usuario root o SA puede el atacante ejecutar todos esos comandos.
He visto siempre que pocos nos damos el trabajo de administrar la BD de manera de otorgar los permisos minimos a cada usuario para realizar su trabajo, y queremos que simplemente funcione
Ok Claudio, bueno personalmente tengo en mi computador una aplicación para gestionar una agenda telefónica mia con mis contactos, yo accedo desde internet porque mi pc tiene un ip fijo y reviso mis contactos, ingreso, modifico, etc., pero me alarmó el tema de la seguridad y para solventar el problema comencé por crear un usuario llamado 'seguro' con su password, lo cree con el phpmyadmin y le asigné los permisos:
DATOS: SELECT, INSERT, UPDATE, DELETE, FILE
ESTRUCTURA: CREATE, ALTER, INDEX, DROP, CREATE TEMPORARY TABLES
y le denegué los permisos de administración (osea los que tiene un super usuario como root), no sé si cree bien el usuario si me puedes orientar, también el la parte de accesar via localhost o por host o un %...
ok la segunda es la manera de pasar los datos de un form de login HTML a un .php para ser procesado, ya sea por POST o por GET.
Pero esta bien si yo hago lo siguiente?
Código PHP:
$usuario = $_POST[usuario];
$password = $_POST[password];
$consulta = "SELECT usuario, password FROM tabla_usuarios WHERE usuario='$usuario' AND $password = '$password' ";
$resultado = mysql_query($consulta);
?