gestione password a livello mysql

[neplasco]

ciao a tutti,

ho un sito che necessita di autentificazione: per fare questo utilizzo un utente mysql.
Vorrei poter dare la possibilità all'utente di cambiare le proprie informazioni (username e password). So che queste informazioni sono memorizzate nello schema 'mysql' di MySQL, ma se do all'utente i privilegi per modificare le tabelle opportune do, virtualmente, la possibilita all'utente di modificare le informazioni di tutti gli utenti mysql definiti!!! (anche root)

...

esiste modo per risolvere???

[piero.mac]

http://forum.html.it/forum/showthrea...hreadid=531396

[neplasco]

grazie piero ma ripeto: conosco le tabelle dello schema mysql.

Il problema è che se un utente può cambiare la propria password allora ha il GRANT per modificare la password di chiunque E QUESTO NON VA BENE (alle brutte rovina l'account dell'amministratore)

mi chiedo se esiste un comando mysql - php che mi permette di cambiare la password e username dell'utente loggato, senza dare la possibilità di modificare le informazioni di qualche altro utente.

[piero.mac]

Conosci le tabelle ma non come funzionano.

Leggi la pillola di ringo...

[neplasco]

faccio esempio che è meglio:

esiste un utente per cui User = utente e Password = pass
ed esiste un amministratore per cui User = amministratore e Password = passAmm

diciamo che utente riesce ad accedere al DB per conto suo (senza utilizzare le mie pagine php, in modo da fare le query che vuole, scrivendole di suo pugno)

diciamo che l'utente è particolarmente simpatico e mi scrive:

UPDATE user SET Password='nonAvevoNienteDiMeglioDaFare'

secondo te funziona?
che dici ho reso sicuro il DB?

mica è detto che l'utente malizioso faccia

UPDATE user SET Password='nonAvevoNienteDiMeglioDaFare' WHERE User='utente'

[neplasco]

... dimenticavo che l'effetto DISASTROSO della query precedente è che l'amministratore se lo scroda che entra più nel DB

[piero.mac]

se gestisci un database mysql non credo tu voglia dare i poteri di root a tutti quanti.

Nella pillola si spiega bene come limitare ad ogni utente la visibilita' ai soli propri database.
In altre parole tu crei database e utente/password con i suoi diritti sul suo/suoi database e se l'utente vuole cambiare la password lo comunica all'amministratore. La connessione da remoto avverra' con username e password. Ed anche qui non credo tu lasci uno user di nome root e senza password...

Attenzione... che si sta parlando dei diritti dell'utente mysql e non dei diritti che puo' avere uno utente del sito sulle tabelle come admin, author, publisher... questi vanno gestiti su un db creato dall'amministratore del database, cioe' quello a cui tu hai conferito i dati di connessione e poteri sul suo db.

[neplasco]

per l'appunto ho creato uno schema MySQL ed utente MySQL che può fare SELECT, INSERT e DELETE solo sullo schema in questione (non sullo schema 'mysql').

Questo meccanismo mi permette di non uscire matto a giocare con la verifica della password utente, tanto lo fa MySQL per me.

Ribadisco che l'utente non può fare nè SELECT nè UPDATE nello schema 'mysql', quindi mi chiedo se è possibile, mediante qualche comando MySQL che un utente possa modificare il proprio username e la propria password...

(giusto per sicurezza aggiungo che non vorrei sembrare polemico, anzi ti ringrazio del link alla pillola)