Domanda idiota sull'username e password da passare con mysql_connect

[American]

Cercando tutorial in rete, ho visto che praticamente tutti inizializzano l'interfacciamento col database tramite il metodo mysql_connect, che tuttavia richiede l'username e password d'accesso al DB..

Considerando che io, amministratore del sito, gestisco tutto tramite phpMyAdmin, l'interfacciamento col database tramite script mi serve solo per gestire i login degli utenti.
In pratica devo creare uno script di login e verificare se nel DB esistono o meno i valori passati tramite POST. Ma possibile che per fare ciò debba utilizzare mysql_connect mettendo in chiaro l'username e la password d'amministrazione?

[franzauker2.0]

Possibile

[American]

Originariamente inviato da franzauker2.0
Possibile

ma confermi che è l'unico modo? Scusa, ma non è inopportuno in chiaro la pass e l'username che io utilizzo per accedere al fb come amministratore? Oppure devo creare altri profili utente che non siano admin?

[franzauker2.0]

Originariamente inviato da American
ma confermi che è l'unico modo? Scusa, ma non è inopportuno in chiaro la pass e l'username che io utilizzo per accedere al fb come amministratore? Oppure devo creare altri profili utente che non siano admin?

Non mi è chiarissimo il senso della domanda.
Se la riformuli così: il collegamento di un utente (client) mysql ad un server mysql avviene specificando un nomeutente (mysql) e una password in chiaro (ASCII) la risposta è SI'

SI' qualsiasi accrocchio utilizzi per connetterti.

Nel caso devi creare un mezzo sicuro per collegarti (un tunnel VPN, ma anche solo ssh) se vuoi che i dati transitino criptati nel caso in cui operi ad esempio su internet.

E sì, nome utente e password sono memorizzati in chiaro in un qualche file di configurazione php, quindi dovrai stare molto attento ai relativi permessi di lettura e modifica.

E sì, puoi creare uno o più utenti mysql (di cui memorizzerai le credenziali in chiaro da qualche parte), invece di usare root.

[American]

allora rispiego meglio

Io ho un dominio internet con un database mysql. Per accedervi, come amministratore, utilizzo "user" e "pass" come dati di login. Ovviamente solo io sono l'amministratore, non voglio che terzi ci mettano mano.


Adesso per il mio sito devo creare un form di login per gli utenti che si son in precedenza registrati, per fare ciò ovviamente devo leggere i dati del DB e accertarmi che i dati inseriti dall'utente siano corretti (aka presenti nel DB). Per fare ciò è necessario istanziare la connessione mysql, ma il dubbio è: che password e username devo metterci? Quella mia d'amministrazione?

Insomma, come si agisce in questi casi (è la prima volta che faccio un modulo di registrazione e login)?

[deleted_129]

1) Il php non può essere letto da un utente che clicca -> visualizza sorgente password, quindi non ti vede nessuno i tuoi username e password.

2) Mettendo la pagina dentro il dominio del sito, bisogna solo mettere l'id e il nome database, non la password. Come indirizzo ovviamente localhost.

Una cosa del genere:

codice:

$db = mysql_connect("localhost", "mioid",""); /*accedo al database*/
if(!$db) /*se c'é stato qualche errore:*/
die('ERRORE: non posso accedere al database!');
mysql_select_db("nomedelmiodatabase",$db); /*scegli il tuo database*/

Oltre che non c'e' la password, non è facile far vedere queste info all'utente.

Non ho capito bene il tuo problema ma spero che questo ti illumini.

[American]

2) Mettendo la pagina dentro il dominio del sito, bisogna solo mettere l'id e il nome database, non la password.

Ahh ecco, così tutto torna.
Credevo che la pass fosse necessaria e a quel punto non sarebeb stato molto difficile visualizzare il codice sorgente e rubarla

Mettendo la pagina dentro il dominio del sito

Ma quindi posso anche testare la pagina in locale (col database memorizzato sul sito)? In questo caso però è necessaria la pass e l'user giusto?

[franzauker2.0]

Ahem la password ci vuole eccome se è impostata guardando il sorgente o come detto file configurazione php vedi la password eccome tuttavia se il server è ben configurato queste informazioni non vengono lette da utente ricordati che utente non vede il sorgente php.. Salvo errori e buchi del server... Ma il codice html generato

[deleted_129]

non del tutto "In locale" visto che ti appoggi ad un database esterno, (in questo caso devi mettere l'indirizzo ip invece del localhost) e mettere la password.

[American]

Originariamente inviato da franzauker2.0

pure nel caso in cui il php e il db risiedono sullo stesso server?