skripty a hesla

[Zdenek Mazanec]

> nemoze spravi neporiadok...) a potom, kazdy uzivatel ktory chce nieco
> pozerat a menit v databaze cez script na webe, musi poskytnut svoje
> heslo a meno, ktorym disponuje aj databaza.
> Teda, toto riesenie vyzaduje bud:
>    - databaza ma zoznam uzivatelov, ktory maju pristup na citanie
> zapisovanie do tabuliek a tak netreba nic pisat do scriptu. (myslim ze
> toto nie je problem spracit, akurat to moze byt narocne)
Slusna databaze, nez se s vami zacne bavit, vyzaduje jmeno a heslo. Podle
toho, jake je to jmeno a jake heslo (pripadne odkud se hlasite) vam priradi
k tomuto uctu potrebna prava. Cili nechapu, jak si timto chcete pomoci. Je
pravda, ze typicky sql prikaz na webu je select, ale semo tamo se objevuje i
nutnost nejakeho zapisu (typicky feedbacky, objednavky .... spousta dalsich
veci). Tezko muzete cekat, ze se uzivatel bude autentifikovat (dejme tomu
trebas pri te objednavce) jinak nez "svym registracnim jmenem" (tedy necim,
co urcite neni systemovy account)


>    - databaza si uzivatela authentifikuje dotocne, napriklad cez pam,
> alebo podobne. Neviem ci taketo riesenie je, ale mozno by nemolo odveci :)
Super, a udelat jim rovnou klasickeho usera se shellem a dat jim misto
nesifrovaneho http radeji ssh.. nebyl by to fajn napad?

...timto bych vyjadril nazor v tom smyslu, ze kod, ktery je na serveru
ulozen jako plain text se da ochranit pouze za jen zcasti klaciky typu
open_baseroot(), safe_mode, chrootovanym ftp a to je tak asi vsechno. Pokud
nekdo zkompromituje uzivatele, pod jakym bezi web server, je to v pytli tak
jako tak.

---
Zdenek Mazanec, Contactel s.r.o.
http://mandrake.redbox.cz