Foros del Web » Programando para Internet » PHP »

Estrategia de seguridad

Estas en el tema de Estrategia de seguridad en el foro de PHP en Foros del Web. Hola, Os parece bien como estrategia de seguridad de una pagina el siguiente planteamiento: Supongamos que podemos crear usuarios libremente en el servidor de bases ...
  #1 (permalink)  
Antiguo 17/03/2008, 04:11
Colaborador
 
Fecha de Ingreso: marzo-2008
Ubicación: Sabadell
Mensajes: 4.897
Antigüedad: 16 años
Puntos: 574
Estrategia de seguridad

Hola,

Os parece bien como estrategia de seguridad de una pagina el siguiente planteamiento:

Supongamos que podemos crear usuarios libremente en el servidor de bases de datos (mysql, o el que sea) y por lo tanto los usuarios autorizados de la pagina serán los mismos que tinen usuario propio en el servidor de bbdd.

En este caso podríamos hacer el login de la pagina con los datos que el usuario introduce el típico formulario de login y si estos son validados por el servidor de bbdd permitir que siga a delante por la zona restringida del la web.

Si a partir de los datos introducidos por el usuario se puede obtener un id de conexión luego el usuario existe y por tanto podemos permitirle seguir. A partir de aquí seguir con la estrategia de seguridad siguiendo el modelo posteado por ]pato12 ( http://www.forosdelweb.com/f18/aporte-sistema-registro-reconocimiento-usuario-aporte-561417/ ) .


Ventajas

De esta forma conseguimos un script de conexión donde NO hay ningún dato del usuario, e incluso NO necesitamos otra tabla de usuarios a parte de la propia del sistema gestor de bases de datos. Y podremos usar toda la potencia de sql para definir usuarios y privilegios.


Riesgos

Los datos de conexión al servidor de bbdd viajan con la petición del usuario.


Mi duda es que es más peligroso hacer la conexión de esta forma, o tener un script con el usuario y el password escritos esperando que alguien encuentre la forma de leerlo?
Igual es una obviedad lo que acabo de decir o el problema es tener libertad para crear usuarios en el servidor de BBDD cuando no trabajamos con un servidor propio.


Espero comentarios, gracias.

Quim
  #2 (permalink)  
Antiguo 17/03/2008, 16:47
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 17 años, 10 meses
Puntos: 2135
Re: Estrategia de seguridad

Creo es mas peligroso de la forma que propones, ya que no en todos los servidores tienes acceso al comando ADD USER de MySQL, ya que tu te conectas bajo un usuario con muchísimos menos privilegios.

Lo que te recomiendo es mejor manejar directamente tu tus usuarios y dejar solo 1 usuario para la base de datos.
  #3 (permalink)  
Antiguo 17/03/2008, 19:22
Avatar de pato12  
Fecha de Ingreso: septiembre-2007
Ubicación: Salta
Mensajes: 1.620
Antigüedad: 16 años, 6 meses
Puntos: 101
Re: Estrategia de seguridad

Cita:
Iniciado por GatorV Ver Mensaje
Creo es mas peligroso de la forma que propones, ya que no en todos los servidores tienes acceso al comando ADD USER de MySQL, ya que tu te conectas bajo un usuario con muchísimos menos privilegios.

Lo que te recomiendo es mejor manejar directamente tu tus usuarios y dejar solo 1 usuario para la base de datos.
Yo tambien estoy de acuerdo, de que es mas peligroso de la forma que propones.
Suerte
Salu2
__________________
Half Music - www.halfmusic.com
  #4 (permalink)  
Antiguo 18/03/2008, 02:41
Colaborador
 
Fecha de Ingreso: marzo-2008
Ubicación: Sabadell
Mensajes: 4.897
Antigüedad: 16 años
Puntos: 574
Re: Estrategia de seguridad

Cita:
Iniciado por pato12 Ver Mensaje
Yo tambien estoy de acuerdo, de que es mas peligroso de la forma que propones.
Suerte
Salu2

Gracias a los dos por responder.

Pondré el script de conexión fuera del alcance de http y asi tendremos un nivel más de protección.

Quim
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:23.