[PHP] Metodo migliore per fare login a un DB Mysql

[Marco Ginato]

Ciao a tutti, vi scrivo per avere dei consigli su quale sia le differenze (anche in termini di sicurezza) tra 2 modi di fare login a un DB.
1) Metodo classico dove la connessione viene fatta impostando manualmente i dati (solitamente user "root" e psw "") poi ci si connette alla tabella che contiene tutte le user e password e se coincide con quella immessa dall'utente si accede
2) Il metodo è eliminare la tabella contenente le credenziali e creare le utenze direttamente dal database. Ad esempio l'utente per collegarsi dovrebbe immettere nel form di login la user root e la psw "" (ovviamente si crea una user aggiuntiva per non usare la root con i permessi limitati)

Secondo voi qual'e' il metodo piu conveniente da usare anche in termini di sicurezza?
Ci sono differenze tra i due metodi o sostanzialmente uno vale l'altro?
Grazie

 

[marino51]

é sempre meglio che un utente non abbia le informazioni per accedere direttamente ai "servizi" disponibili (es. database),
potrebbe accedervi anche con altri mezzi con risultati "sorprendenti" per chi deve correre ai ripari

meglio sarebbe avere uno user e psw di bassissimo livello che legge solo la tabella utenti
estrarre da essa le informazioni necessarie ed accedere al db con il nuovo utente e psw, con i diritti che gli conseguono e competono ( solo lettura su certe tabelle, scrittura su altre, cancellazioni dove consentito )

si possono classificare gli utenti in gruppi in modo da avere i diritti omogenei per tipologia di lavoro

bisogna comunque prevedere la registrazione di un nuovo utente se fatta online

la soluzione richiede interventi successivi alla creazione di un nuovo utente per la definizine delle sue "capacità"

questo per la miglior sicurezza, ma pochissimi lo applicano