Безопасность в MySQL

[Yuriy_S]

Безопасность в MySQL

Люди, тут у меня вот появился вопрос по безопасности MySql.
Создал я тут маленькую бд, ну кароче таблицу из 4-ех столбцов.
ТАк вот, у меня в php файле напиано имя пользователя root а пароля нету. я значит коннектюсь на бд и т.д все работает, удаляется и т.п.
Может ли посетитель посмотреть php -код файла, где у меня имя пользователся и пароль и удалить мою БД?
Как сделать что бы было более надежнее?
И ещё вернусь к имени пользователя паролю, если у меня стоит имя root, то это можно значит что угодно делать?
И вопрос второй по имени, если я создам БД с другим именем и паролем, уровень доступа будет таким же? ну разрешена запись, удаление и т.п?

Посоветуйте и скажите плиз
Спасибо за внимание!

 

[Demiurg]

>Может ли посетитель посмотреть php -код файла, где у меня имя пользователся и пароль и удалить мою БД?
нет браузер видит только результат работы скрипта.
>если у меня стоит имя root, то это можно значит что угодно делать?
да
>именем и паролем, уровень доступа будет таким же?
у баз нет паролей. Пароли есть только у пользователей, которым раздаются права на какие-либо действия в различных базах.

 

[Yuriy_S]

то есть мне стоит только сделать имя пользователя например forum и пароль 123456 и поместить его в скрипт, то тогда как бы все посетители будут этим пользователем с паролем, так что ли получается?

 

[BigDaddy]

Мало чего понял...
Итак, в мускл уровни доступа определяются
1. на уровне базы данных, таблиц и столбцов
2. для определенного круга пользователей с определенными паролями или без оных.
3. для юзеров, подсоединяющихся с определенных хостов или адресов.
4. на совершение определенными юзерами определенного набора действий и так далее и тому подобное.
Выбираешь наиболее удобный для себя вариант привилегий и вперед...

Относительно почитать код рнр - это можно сделать только
1. Почитав исходник в телнете или скачав его по фтп. Браузер никогда не выдаст исходный текст рнр файла - у него его просто нету.
2. Если сервер не имеет поддержки рнр - тогда он просто выбросит файл как неизвесного типа.

 

[BigDaddy]

Да ребята, быстро вы печатаете

 

[Demiurg]

>то есть мне стоит только сделать имя пользователя например forum и пароль 123456 и поместить его в скрипт, то тогда как бы все посетители будут этим пользователем с паролем, так что ли получается?
примерно так, скрипт(ы) будет коннектиться и делать нужные ему запросы.

 

[BigDaddy]

Почитай, может чего полезного найдешь
http://www.mysql.com/doc/en/Privilege_system.html

 

[Yuriy_S]

ладно, насчет этого понятно. А вот как быть с привилегиями, ну как мне устанавливаются например права доступаа определенного пользователя к бд, таблице, столбцу и т.д?
Вот смотрите, если я сделаю форум, там будет к примеру 15 столбцов в таблице, имя пользователя и пароль, ну к примеру user_forum и forum64535464, вот, и у меня в скрипте будет несколько форм, для записи, так получается как бы я уже создаю права пользователя в скрипте? мне уже не нужно где то в самом mysql настраивать и прописывать все это?

 

[ErrN0]

http://www.mysql.com/search/?q=GRANT&from=/index.html

 

[Yuriy_S]

блин, да там все по английски, а не могу свободно читать на английском, пока что....
Ответьте плиз на вопрос, который выше на 1 сообщение.
И ешё, все же, есть какая ибудь возможность просто скачать файл с www-сервера с php кодом, через броузер если нельзя, то может проги есть какие-нить, которые могут скачать.
И если пароль и имя хранить в отдельном файле текстовом, то это лучше?

 

[RomikChef]

ответ на первый вопрос.
со всеми столбцами работает ОДИН PHP скрипт. С одним логином и одним паролем.
Никаких прог, которые скачивают, нету.
Хранить в текстовом файле нельзя - вот его-то веб-сервер отдаст пользователю как есть. Храни в файле, который сервер обрабатывает, как php

 

[Yuriy_S]

ок! спапсибо. теперь понятно.

 

[ErrN0]

лучше всего хранить пароли в подключаемом файле который лежит вне пространства веб-сервера.

 

[Yuriy_S]

это как? гду например? нада апач прописывать дирексторию какую то и потом из нее брать? поподробнее плиз...

 

[ErrN0]

php.ini в include_path прописывается директория находящаяся ЗА корнем веб-сервера... вот в нее и надо ложить...

 

[Yuriy_S]

ложить файл? с паролем и именем, а потом как считываеть его? То есть обращаться просто по имени паппки.
Например сделаю я такую директорию для хранения паролей:
f:/usr/local/password - и как потом обращаться к этой папке?
Просто писать что ли /password/filename.txt ?

 

[RomikChef]

include("f:/usr/local/password/filename.txt");

 

[Yuriy_S]

ааааа, ясно. спасибо, будем теперь творить чудеса!