comunidad de usuarios en php y mysql

tnluso · #1 (**permalink**) 08/10/2010, 16:09

hola a todos!
el caso es el siguiente:
estoy creando una pagina en php y mysql que permite el ingreso a usuarios registrados, y al administrador que necesite gestionar la base de datos.
El caso es pues, que no se como definir el acceso. Y tampoco tengo entendido de que va eso de permisos de usuario de mysql. Asi que mis opciones son:

1)-cuando el usuario ingrese su identificacion y clave, esta ultima se compara con la clave guardada en mysql y permite el acceso en caso de ser correcta.

2)-la clave no la gestiona la base de datos, sino mas bien el mismo mysql, por medio de usuario con permisos definidos.

cual seria la opcion mas efectiva? es decir, aun no entiendo si el sistema de permisos de usuarios de mysql se aplica a los posibles desarrolladores trabajando desde un terminal o si se aplica a los usuarios finales con permiso para modificar (administradores) o solo visualizar los datos.

Como ven, soy bastante nuevo en el sector. Agradeceria respuestas claras, sino es pedir mucho. Gracias de todos modos!!

gnzsoloyo · #2 (**permalink**) 08/10/2010, 16:22

Cita:

aun no entiendo si el sistema de permisos de usuarios de mysql se aplica a los posibles desarrolladores trabajando desde un terminal o si se aplica a los usuarios finales con permiso para modificar (administradores) o solo visualizar los datos.

En esencia están basados en los mismos principios que los sistemas de permisos de todos los DBMS. Se aplican a todos los usuarios creados y que deseen usar el servidor de MySQL, no sólo desarrolladores.
Son profundos, efectivos, eficientes y tan poderosos como los implementes.
Estudia el tema y lo comprenderás. Es el modo más efectivo de aumentar la seguridad: administrar los permisos de forma eficiente.

Cita:

cual seria la opcion mas efectiva?

En realidad, una combinación de ambos: El login central, contra MySQL, y el de base como confirmación. Esto te permitirá por un lado filtrar a aquellos usuarios que realmente tienen o no permisos de uso de MySQL y separarlos de los que pueden usar la aplicación.
Incluso, el hecho de certificar contra dos tablas diferentes, siendo una de ellas administrada desde la aplicación te permite evitar que un usuario externo, con permisos superiores, pueda modificar los permisos de usuario de la aplicación, ya que sólo por medio de la aplicación podría accederse a los datos de la tabla secundaria.
Este es el caso de una de nuestras aplicaciones: El sistema de encriptación del password de la aplicación no usa funciones de encriptación de MySQL, por lo que no puedes usar SQL para romperlo y por tanto una modificación de la tabla desde afuera de la aplicación deja al user inhabilitado para operar con ella.

tnluso · #3 (**permalink**) 09/10/2010, 07:29

muchas gracias gnzsoloyo, fue realmente claro!