Hola,

Os parece bien como estrategia de seguridad de una pagina el siguiente planteamiento:

Supongamos que podemos crear usuarios libremente en el servidor de bases de datos (mysql, o el que sea) y por lo tanto los usuarios autorizados de la pagina serán los mismos que tinen usuario propio en el servidor de bbdd.

En este caso podríamos hacer el login de la pagina con los datos que el usuario introduce el típico formulario de login y si estos son validados por el servidor de bbdd permitir que siga a delante por la zona restringida del la web.

Si a partir de los datos introducidos por el usuario se puede obtener un id de conexión luego el usuario existe y por tanto podemos permitirle seguir. A partir de aquí seguir con la estrategia de seguridad siguiendo el modelo posteado por ]pato12 ( http://www.forosdelweb.com/f18/aporte-sistema-registro-reconocimiento-usuario-aporte-561417/ ) .


Ventajas

De esta forma conseguimos un script de conexión donde NO hay ningún dato del usuario, e incluso NO necesitamos otra tabla de usuarios a parte de la propia del sistema gestor de bases de datos. Y podremos usar toda la potencia de sql para definir usuarios y privilegios.


Riesgos

Los datos de conexión al servidor de bbdd viajan con la petición del usuario.


Mi duda es que es más peligroso hacer la conexión de esta forma, o tener un script con el usuario y el password escritos esperando que alguien encuentre la forma de leerlo?
Igual es una obviedad lo que acabo de decir o el problema es tener libertad para crear usuarios en el servidor de BBDD cuando no trabajamos con un servidor propio.


Espero comentarios, gracias.

Quim