Tweet
Hallo! Ich bin neu hier und bastele seit einiger Zeit an einer Website, mit der auf eine DB zugegriffen werden soll. Das klappt auch alles wunderbar, nur möchte ich jetzt noch gern eine paar Securitysachen abgeklärt haben. Vorab: die Website läuft nur in einem kleinen Intranet, welches nach außen ganz gut abgesichert ist. Trotzdem möchte ich auf Nummer sicher gehen.
Konkret geht es mir um das Handeln der Logindaten.
Momentan läuft das so ab:
Der User gibt seine Datenbankzugangsdaten über ein Inputfeld ein, diese werden per POST übergeben, escaped und es wird versucht, damit eine Verbindung zur Datenbank herzustellen. Bei Erfolg werden Username und PW in zwei Sessionvariablen gespeichert, auf die ich auf jeder einzelnen Page meines Projektes zugreifen kann, um eine Verbindung zur DB herzustellen. Das klappt sehr gut, nur habe ich dazu leider sehr unterschiedliche Aussagen im Netz gefunden, ob man das so machen kann/sollte oder nicht.
Es wäre mir natürlich lieber, statt der Zugangsdaten die Datenbankverbindung zu übergeben
Aber die lässt sich wohl nicht in einer Session-Variablen ablegen.
Was haltet ihr davon? Sicher, unsicher? Gut, nicht gut, total bescheuert?
Konkret geht es mir um das Handeln der Logindaten.
Momentan läuft das so ab:
Der User gibt seine Datenbankzugangsdaten über ein Inputfeld ein, diese werden per POST übergeben, escaped und es wird versucht, damit eine Verbindung zur Datenbank herzustellen. Bei Erfolg werden Username und PW in zwei Sessionvariablen gespeichert, auf die ich auf jeder einzelnen Page meines Projektes zugreifen kann, um eine Verbindung zur DB herzustellen. Das klappt sehr gut, nur habe ich dazu leider sehr unterschiedliche Aussagen im Netz gefunden, ob man das so machen kann/sollte oder nicht.
Es wäre mir natürlich lieber, statt der Zugangsdaten die Datenbankverbindung zu übergeben
Code:
$mysqli = new mysqli('localhost', $nutzer, $passwort, 'db');
$_SESSION['mysqli'] = $mysqli;
Was haltet ihr davon? Sicher, unsicher? Gut, nicht gut, total bescheuert?
Kommentar