Nutzerrechte von MySQL erben

gurbelunder · 12.01.2012, 13:48

Hallo an alle,
erstmal zu meiner Situation: ich möchte ein Waren und Kundenverwaltungssystem erstellen. Als DB kommt MySQL auf einem Ubuntu Server zum Einsatz. Zur Nutzung der Datenbank möchte ich selber eine Oberfläche aufsetzen, die hauptsächlich auf PHP basiert.
Da die Nutzung der Datenbank je nach Nutzer eingeschränkt sein soll, würde ich gerne gleich die Benutzerverwaltung von MySQL nutzen, aber diese auch gleich in die Oberfläche integrieren, sodass der jeweilige Nutzer sich mit seinem Nutzernamen und PW in der Oberfläche anmeldet, PHP im Hintergrund die Rechte des Nutzers von MySQL liest und dementsprechend die Oberfläche gestaltet. Soll heißen, wenn Nutzer x zum Beispiel keine Kunden löschen darf, dann soll die Möglichkeit erst garnicht erscheinen.
Ich kenne von der Windows Seite aus (MSSQL), dass hier eine Systemtabelle verfügbar ist, auf die man auch von außen drauf zugreifen kann. Gibt es das auch bei MySQL und kann ich das einbinden?

Grundlegendes dazu würde mir schonmal helfen, ich denke aber mal, es werden sich dann noch Fragen auftun.

Ich danke euch schonmal im vorraus.

David

EDIT: Ich bin auch mittlerweile auf den Trichter gekommen, ein CMS zu nutzen und wollte dabei auf Drupal zurückgreifen. Da muss ich mich aber auch erst einlesen, um zu schauen, wie was damit wann möglich ist.

DirkHo · 12.01.2012, 22:43

Hi David,

hier mal ein Text dazu:
http://www.html-world.de/program/mysql_8.php

Mit den MySQL-Berechtigungen würde ich direkt nicht arbeiten. Ich würde lieber ein Framework mit Benutzerverwaltung (z.B. Symfony mit sfGuardUser) verwenden. Über den Backendgenerator kannst du recht viel generieren, dass du ein laufendes System hast und das dann entsprechend anpassen.

Viele Grüße,

Dirk

gurbelunder · 13.01.2012, 07:48

Hallo Dirk,
also erstmal danke für den aufschlussreichen Artikel. Er bestätigt zumindest meine Annahme mit den Systemtabellen.
Kannst du mir aber einen Grund von dir selbst nennen, warum ich diese nicht nutzen sollte? Ich hab zwar gelesen, dass das bearbeiten und evtl. auch löschen zu Dateninkonsistenzen führen kann, aber ich würde ja eigentlich nur Lesezugriff auf die Datensätze brauchen...

Ich schaue mir gerade auch deine Empfehlung, Symfony, an. Aber was darf ich darunter verstehen? Ist das einfach nur eine Art Skriptsammlung oder wie? Wie wende ich das nun an?

Eine andere Idee von mir wäre, eine "eigene" Systemtabelle in meiner eigenen Datenbank anzulegen, die Nutzername und PW (natürlich md5 verschlüsselt) enthält, und damit prüft. Würde man jetzt in MySQL einen neuen Nutzer anlegen, so könnte man mit einem Trigger die Eingaben doch sicher abfangen und in die "eigene" Systemtabelle zusätzlich schreiben lassen, oder? Wäre das nicht einfacher, als irgend welche Skripte von irgendwem einzubinden? Vorallem, weil mir die Konfiguration für Ubuntu scheinbar abverlangt, dass ich Apache in /usr/share/php/data/symfony/web/sf, also den Lagerort der Skripte, volle Schreibzugriffe gebe. Ist das wirklich sicher???
Dazu hier die Konfiguration, die ich meine: Ubuntu Symfony Konfiguration

chorn · 13.01.2012, 09:29

Zitat:

Zitat von gurbelunder

(natürlich md5 verschlüsselt)

Kleiner Tipp: noch salzen und einen besseren Algorithmus, wie z.B. sha1, verwenden

http://pbeblog.wordpress.com/2008/02...hp-using-salt/

gurbelunder · 13.01.2012, 09:39

Versteh ich das richtig? Salt funktioniert, einfach erklärt, einfach nur so, dass ich einen beliebigen String an das PW ansetze, bevor ich es hashe? Nicht dumm gedacht

eagle275 · 13.01.2012, 10:28

am besten ein zusätzlicher String, der nicht bei allen Passwörtern GLEICH ist (ein sogenanntes "dynamisches Salt")

gurbelunder · 13.01.2012, 10:45

Na das klingt doch nach einer super Sache. Jetzt muss ich mich nurnoch mit Cookies beschäftigen, damit ich Zeitlimits für eingeloggte machen kann. Also 5 Minuten nichts passiert, automatischer Logout. Oder beim Schließen des Browsers undundund...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Mysql funktioniert nicht (Erweiterung nicht erkannt!?)	pfump	Server, Hosting und Workstations	10	17.03.2012 11:07
MySQL -> CSV einlesen automatisiert	nomar2408	Datenbanken	1	12.10.2011 03:07
[Erledigt] Datensätze von einer MySQL in eine andere MySQL Datenbank abgleichen	Marvin75	Datenbanken	7	10.06.2011 18:00
Mysql Server startet nicht mehr	Nicolas2006	Datenbanken	2	20.03.2011 16:03
PHP Zugriff auf MySQL Community Server gewähren	daemonTutorials	Datenbanken	8	21.02.2011 12:28
MySQL Datentransfer (Dateigroesse 4MB) via Shell Zugang oder einfacher	promoterlv	Datenbanken	1	14.11.2010 22:12
[Erledigt] PHP bekommt keine Verbindung zu MySQL	SaKe	Datenbanken	15	20.09.2010 14:45
Lerne Grundlagen \| Quellensammlung	cycap	PHP Einsteiger	0	12.11.2008 16:23
[Erledigt] MySQL - ERROR 1044 bei erstellen einer Datenbank	_youngenterpriser_	Datenbanken	2	05.02.2008 17:56
Mysql Server Einstellunen Optimieren	pchero	Datenbanken	3	01.05.2007 19:50
Schnittstelle zwischen PHP und MySQL klappt net !!!		Datenbanken	16	16.10.2005 14:24
[Erledigt] not allowed to connect to this MySQL server		PHP Tipps 2005-2	2	23.09.2005 18:34
Suche Tipps für Persormance-Steigerung (Geld für Nützliches)		Beitragsarchiv	18	16.08.2005 10:57
MYSQL läuft nur wenn /tmp auf 777		Datenbanken	5	06.07.2005 08:38
mysql root passwort vergessen		Datenbanken	1	29.05.2005 11:33

12.01.2012, 13:48
gurbelunder Neuer Benutzer Registriert seit: 12.01.2012 Beiträge: 12 PHP-Kenntnisse: Anfänger	Nutzerrechte von MySQL erben Hallo an alle, erstmal zu meiner Situation: ich möchte ein Waren und Kundenverwaltungssystem erstellen. Als DB kommt MySQL auf einem Ubuntu Server zum Einsatz. Zur Nutzung der Datenbank möchte ich selber eine Oberfläche aufsetzen, die hauptsächlich auf PHP basiert. Da die Nutzung der Datenbank je nach Nutzer eingeschränkt sein soll, würde ich gerne gleich die Benutzerverwaltung von MySQL nutzen, aber diese auch gleich in die Oberfläche integrieren, sodass der jeweilige Nutzer sich mit seinem Nutzernamen und PW in der Oberfläche anmeldet, PHP im Hintergrund die Rechte des Nutzers von MySQL liest und dementsprechend die Oberfläche gestaltet. Soll heißen, wenn Nutzer x zum Beispiel keine Kunden löschen darf, dann soll die Möglichkeit erst garnicht erscheinen. Ich kenne von der Windows Seite aus (MSSQL), dass hier eine Systemtabelle verfügbar ist, auf die man auch von außen drauf zugreifen kann. Gibt es das auch bei MySQL und kann ich das einbinden? Grundlegendes dazu würde mir schonmal helfen, ich denke aber mal, es werden sich dann noch Fragen auftun. Ich danke euch schonmal im vorraus. David EDIT: Ich bin auch mittlerweile auf den Trichter gekommen, ein CMS zu nutzen und wollte dabei auf Drupal zurückgreifen. Da muss ich mich aber auch erst einlesen, um zu schauen, wie was damit wann möglich ist. Geändert von gurbelunder (12.01.2012 um 14:07 Uhr). Grund: durch EDIT evtl andere Angehensweise?!?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

12.01.2012, 22:43
DirkHo Erfahrener Benutzer Registriert seit: 22.07.2004 Beiträge: 226	Hi David, hier mal ein Text dazu: http://www.html-world.de/program/mysql_8.php Mit den MySQL-Berechtigungen würde ich direkt nicht arbeiten. Ich würde lieber ein Framework mit Benutzerverwaltung (z.B. Symfony mit sfGuardUser) verwenden. Über den Backendgenerator kannst du recht viel generieren, dass du ein laufendes System hast und das dann entsprechend anpassen. Viele Grüße, Dirk

13.01.2012, 07:48
gurbelunder Neuer Benutzer Registriert seit: 12.01.2012 Beiträge: 12 PHP-Kenntnisse: Anfänger	Hallo Dirk, also erstmal danke für den aufschlussreichen Artikel. Er bestätigt zumindest meine Annahme mit den Systemtabellen. Kannst du mir aber einen Grund von dir selbst nennen, warum ich diese nicht nutzen sollte? Ich hab zwar gelesen, dass das bearbeiten und evtl. auch löschen zu Dateninkonsistenzen führen kann, aber ich würde ja eigentlich nur Lesezugriff auf die Datensätze brauchen... Ich schaue mir gerade auch deine Empfehlung, Symfony, an. Aber was darf ich darunter verstehen? Ist das einfach nur eine Art Skriptsammlung oder wie? Wie wende ich das nun an? Eine andere Idee von mir wäre, eine "eigene" Systemtabelle in meiner eigenen Datenbank anzulegen, die Nutzername und PW (natürlich md5 verschlüsselt) enthält, und damit prüft. Würde man jetzt in MySQL einen neuen Nutzer anlegen, so könnte man mit einem Trigger die Eingaben doch sicher abfangen und in die "eigene" Systemtabelle zusätzlich schreiben lassen, oder? Wäre das nicht einfacher, als irgend welche Skripte von irgendwem einzubinden? Vorallem, weil mir die Konfiguration für Ubuntu scheinbar abverlangt, dass ich Apache in /usr/share/php/data/symfony/web/sf, also den Lagerort der Skripte, volle Schreibzugriffe gebe. Ist das wirklich sicher??? Dazu hier die Konfiguration, die ich meine: Ubuntu Symfony Konfiguration Geändert von gurbelunder (13.01.2012 um 08:25 Uhr).

13.01.2012, 09:39
gurbelunder Neuer Benutzer Registriert seit: 12.01.2012 Beiträge: 12 PHP-Kenntnisse: Anfänger	Versteh ich das richtig? Salt funktioniert, einfach erklärt, einfach nur so, dass ich einen beliebigen String an das PW ansetze, bevor ich es hashe? Nicht dumm gedacht

13.01.2012, 10:28
eagle275 Erfahrener Benutzer Registriert seit: 01.09.2010 Beiträge: 4.561 PHP-Kenntnisse: Fortgeschritten	am besten ein zusätzlicher String, der nicht bei allen Passwörtern GLEICH ist (ein sogenanntes "dynamisches Salt") __________________ "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

13.01.2012, 10:45
gurbelunder Neuer Benutzer Registriert seit: 12.01.2012 Beiträge: 12 PHP-Kenntnisse: Anfänger	Na das klingt doch nach einer super Sache. Jetzt muss ich mich nurnoch mit Cookies beschäftigen, damit ich Zeitlimits für eingeloggte machen kann. Also 5 Minuten nichts passiert, automatischer Logout. Oder beim Schließen des Browsers undundund...