Добрый день! Имеется база данных Нужно чтобы любой пользователь просматривающий страницы мог просмотреть результат Select но если залогинился admin, он мог бы изменять данные в ней Я не хочу таблицу пользователей и каждому давать права, вообще не нужно поле логина по идее только admin должен знать, что можно войти иначе Каким образом лучше организовать вход на сайт? Проблема в том, что если я из php коннекчусь под root, то получается что каждый пользователь имеет все права с php только начинаю, т.ч. не судите строго, могу тупить создавал базу следующим образом http://rghost.net/47480950
Ну это вы уже с SpIDer Gate решайте, у него может ошибка днк ) по теме: Если для всех пользователей при входе по index.php конектиться с root для проверки имеется ли таблица и её создания при необходимости, потом дисконнект и коннект уже как обычный выдуманный пользователь (или дать права SELECT пользователю, который в phpmyadmin как "любой" обозначен) а для администрирования использовать вход с ключом, например index.php?login=admin&pass=admin и перенаправлять на другую страницу соответственно, если данные валидные Какие сложности могут возникнуть при данном подходе? Важно ещё чтобы был невозможен доступ к базе извне(копирование) за исключением конечно тех данных, которые отображаются для всех и взлом (брут пароля условно исключаем)
да мне просто пофигу. сам понимаешь, юзер с первым сообщением не внушает доверия. я dr.web верю больше есть хорошее правило: никогда не логинься рутом. очень помогает избежать внезапной боли, знаешь ли. ой! еще правило: не передавай секретную информацию в GET запросе. перевожу: в URL не должно быть логина/пароля. а вообще непонятно о чём ты спрашиваешь. "какие сложности могут возникнуть?" да любые, абсолютно! ты старательно совершаешь все ошибки. Добавлено спустя 8 минут 34 секунды: Если ты и правда не провокатор, то я порекомендую такой способ защиты административной страницы: * это должна быть ОТДЕЛЬНАЯ страница, лучше поместить скрипт в отдельную папку. * доступ к этой папке закрываешь через htaccess + htpasswd. тогда тебе и правда не понадобится таблица пользователей. инструкций по этому поводу море! гугли
сам им пользуюсь... но его если не учить, на многое ругается. а в blacklist можно занести все файлообменники, да и поисковики тоже до кучи, чтобы точно ни откуда не поймать вирус. правило это хорошо... запомнил. в теории согласен, а что это меняет на практике? Если я сделаю пользователя с те ме же правами, что root и залогинюсь им, разве что-то изменится? и потом параметры доступа же в скрипте прописаны, а к скрипту доступа прямого нет. или я не прав? тогда придётся передать в POST правильно? что это меняет? троянчик так же перехватит запрос... (хотя тут конечно можно и не в чистом виде отсылать, а пошифровать немного) кейлоггер так же старательно запишет что ты ввёл. разве что никто не подглядит, сидящий рядом. Или есть ещё плюсы? век живи, век учись. всё приходит с опытом
это дурацкая совковая позиция, что надо набить все шишки самому. на то и учатся люди, чтобы воспользовавшись чужим опытом не делать новичковых ошибок.
я наверное потому тут и есть, чтобы не набить эти шишки на тестовой страничке, а не на готовом проекте а "чужой опыт" не всегда лучше своего... я уже столько перечитал статей в сети по этой теме и в каждой в комментариях автора гнобят, не приводя со своей стороны "правильного кода" уже не знаю что лучше и кому верить. Получается примеров море и все дырявые