Guten Abend!

Ich arbeite momentan an einem kleinen Projekt...

nun stehe ich vor folgendem Problem: Das ganze projekt läuft über eine Mysql Datenbank... Das den Client aber sopäter mehrere User haben sollen, möchte ich die Zugangsdaten nicht im POrogramm selbst speichern.....
Die einzig SInnvolle Lösung ist wohl ein auf dem Server installiertes Script, welches die Anfragen entgegen nimmt und an die DB weitersendet! die Frage ist nun wie realisiere ich sowas??

und wie verhält sich so eine Script bei vielen gleichzeitigen Anfragen von verschiedenen Usern / Clients??

Ist sowas sinnvoll und mit mitlerem Aufwand verbunden oder wie schwierig darf ich mir die ganze geschichte vorstellen.


Mit geht es wirklich nur um das Geheimhalten der Logindaten, externen Zugriff auf den MYsql Server hätte ich ....



Vielen Dank im Vorfeld!!!

Hallo,

ich hab jetzt nicht ganz verstanden was du machen willst..sowas wie einen Login ?. Und wieso mit einem script? Greif doch einfach direkt vom client auf die MySQL zu.

Dann müssen die Zugangsdaten für die Datenbank auf dem Client vorliegen, das will er aber nicht, deshalb will er die datenbankzugriffe nicht direkt, sondern über ein Skript machen.
Kommt darauf an, was das Skript geenau macht ( Session-Handling?)

Der Aufwand mit dem Skript ist nicht unerheblich, außerdem eine Performance-Bremse.

was stört dich da dran die logindaten weiter zugeben?

wenn du die logindaten in ein script tust, kann jeder mit dem script sql befehle ausführen.

wenn du die logindaten im programmläst kann zwar jeder user sich die daten raussuchen, aber er kann dann nur das was du per datenbank berechtigung erlaubst.

egal ist aber wo du das login speicherst, fakt bleibt, der user deines programmes wird sql befehle ausführen können.

wenn du das nicht willst, musst du etwas dazwischen fummeln. z.b. einen webserivce welche nur bestimmt proceduren/klassen zur verfügung stellt. welche nur bestimmte parameter annehmen.
so kannst du die möglichkeiten des users noch weiter einschränken.

Moin

Wenn das Skript die SQL-Befehle ausführt und die Datenbank-Zugangsdaten direkt im PHP-Skript stehen, dann lassen sich nur die Befehle ausführen, die von Skript ausgeführt werden sollen (fest einprogrammiert).
Andere SQL-Anweisungen lassen sich nicht einschleusen (mal abgesehen von SQL-Injections aufgrund schlechter Programmierung) und die Zugangsdaten der Datenbank können nicht ausgelesen werden. Daher ist ein PHP-Skript, das die DB-Zugangsdaten enthält, meiner Meinung nach das sinnvollste, da die Zugangsdaten zur Datenbank wirklich geschützt sind und das ist mit das wichtigste.

Sind die DB-Zugangsdaten im Programm enthalten, lassen sich diese mit diversen Tools auslesen. Somit ist es möglich, eine Verbindung zur Datenbank aufzubauen (PhpMyAdmin, externe SQL-Clients), was fatal wäre, da man dann alles mit der Datenbank machen könnte, was möglich ist.

Genau das soll der Benutzer doch veranlassen können. Solange sich die SQL-Abfragen nicht manioulieren lassen ist alles in Ordnung.

Man könnte einem Skript die Daten (Benutzername des Users und den zugehörigen Passworthash, bsp. MD5-verschlüsselt) dem PHP.Skript übergeben, das prüft dann, ob die Daten in der Datenbank vorhanden sind (Parameter escapen, damit keine SQL-Injections möglich sind), falls nicht, trägt es diese ein. Ein anderes Skript oder das gleiche über einen Parameter gesteuert sorgt für die Authentifizierung. Auch dabei werden Benutzername und Passworthash übergeben, das Skript prüft, ob die Daten korrekt sind und gibt 0 bzw. 1 oder ähnliches zurück, das vom Programm ausgewertet werden kann.

Ich sehe darin keine Probleme/Sicherheitslücken und schwer umzusetzen ist das ebenfalls nicht.
Es kann natürlich auch sein, dass ich das Vorhaben von Mushroomfreak07 falsch verstanden habe bzw. deine Stellungnahme, Bernd.

Grüße, Matze

Nein, du hast alles auf den Punkt gebracht. Hatte vorhin nicht soviel Zeit, aber das wollte ich eigendlich mit meiner Kurzfassung sagen.

Aber zu dem Thema:
Alles was von Außen kommt ist schlecht und kann manipuliert sein.
Somit muss man in dem Bereich, welchen man unter Kontrolle hat, alle Prüfungen vornehmen.
Um dann nur gültige/richtige Daten weiter zu verarbeiten.