Hallo zusammen,
ich code im Moment ein kleines CMS System, das einige Sonderfunktionen hat, die von den verfügabren CMS Systemen nicht unterstützt werden.
Dazu habe ich von unserem IT-Administrator einen Server und eine MYSQL Datenbank zur Verfügung gestellt bekommen. Für die Datenbank habe ich zwei Benutzeraccounts. Einen mit Administrationsrechten und einen mit weniger Rechten, der dann später von der Webseite benutzt werden soll.
Jetzt kann dieser Nutzer mit weniger Rechten aber keinen Tabellen anlegen (create table). In meinem Konzept ist das aber so vorgesehen, dass Tabellen dynamisch angelegt und auch wieder gelöscht werden.
Wie löst ihr so etwas mit Blick auf die Sicherheit? Legt ihr Tabellen überhaupt dynamisch an oder "tut man das nicht"? Welche Rechte hat der Nutzer mit dem ihr auch auf der Datenbank einloggt?
Gibt es spezielle Dinge die ich beachten sollte wenn ich trotzdem Tabellen dynamisch anlege (mal abgesehen von "mysql_real_escape_string()")?
Grüße,
Stephan
ich code im Moment ein kleines CMS System, das einige Sonderfunktionen hat, die von den verfügabren CMS Systemen nicht unterstützt werden.
Dazu habe ich von unserem IT-Administrator einen Server und eine MYSQL Datenbank zur Verfügung gestellt bekommen. Für die Datenbank habe ich zwei Benutzeraccounts. Einen mit Administrationsrechten und einen mit weniger Rechten, der dann später von der Webseite benutzt werden soll.
Jetzt kann dieser Nutzer mit weniger Rechten aber keinen Tabellen anlegen (create table). In meinem Konzept ist das aber so vorgesehen, dass Tabellen dynamisch angelegt und auch wieder gelöscht werden.
Wie löst ihr so etwas mit Blick auf die Sicherheit? Legt ihr Tabellen überhaupt dynamisch an oder "tut man das nicht"? Welche Rechte hat der Nutzer mit dem ihr auch auf der Datenbank einloggt?
Gibt es spezielle Dinge die ich beachten sollte wenn ich trotzdem Tabellen dynamisch anlege (mal abgesehen von "mysql_real_escape_string()")?
Grüße,
Stephan