Dedikált adatbázis felhasználók

Internet: PHP, CGI, stb.

Adott egy (elméleti, pl. Drupal) webes alkalmazás, amely adatbázison hajt végre műveleteket. A felhasználók különböző, viszonylag jól elkülöníthető jogosultsági szintekkel érhetik el a rendszert, pl.:G1 = csak a saját profilját, beállításait szerkesztheti, loggolási műveletek
G2 = G1 + 1-2 táblába insert
G3 = full access

Kérdés: érdemes-e szerintetek energiát fektetni abba, hogy több DB usert hozunk létre, adatbázis szinten különböző GRANT-ekkel, és mindig a felhasználó jogosultságaihoz alkalmas minimális GRANT-ű DB felhasználón keresztül futtatni az adatbázisműveleteket,
vagy
egyetlen full access DB fhsz, a teljes alkalmazás ezt használja mindenre?

Várom a véleményeteket!

  • 987 megtekintés

( lacika v | 2006. 08. 08., k – 17:00 )

Abból eddig soha nem volt problémám (és neked sem lesz) ha mindig csak a szükséges jogokat osztod ki. Így növelheted a biztonságot egy kicsivel, de ez néha sok energiát és munkát igényel, ahogy a drupalnál is.

( andrej_ v | 2006. 08. 08., k – 17:58 )

Ehhez a PHP-s cuccot vagy azt ami a db-z használja úgy kell megírni, hogy legyen külön admin és simajuzer lehetőség. A drupalban ha jól láttam, akkor csak egy db user van.

( siposa v | 2006. 08. 09., sze – 09:18 )

Köszönöm a válaszokat!

A Drupal-t csak példának hoztam fel, mert bár éppen foglalkozok vele, egy egyedi alkalmazás fejlesztésénél merült fel a kérdés. Tehát úgy írom át ahogy akarom, a kérdés csak az, megéri-e ezzel foglalkozni? Nyújt-e akkora plusz biztonságot, hogy beleöljön az ember néhány napot? A jól látom, egyes SQL-injection jellegű hibákat lehetne vele kevésbé veszélyessé tenni.

Az is igaz, hogya Drupal is és az összes web-es alkalmazás amihez szerencsém volt, mindig 1 DB user-t használt mindenre.