在我的users表中,我有一个true / false布尔标志,表示登录用户是否为Admin。基本上,即使是管理员和其他用户也可以访问数据库,因为它是一个小型的大学网站。我如何确保一般用户不修改标志?存储管理标志是一种正确的做法吗?如果我保留数据库的密码和用户名,那么它也有风险,因为其他用户甚至可以访问网站文件夹,因此他们可以在连接字符串中引用用户名和密码。
提前致谢:)
答案 0 :(得分:3)
如果他们对您的数据库具有完全访问权限,则编辑“admin flag”是您遇到的最少问题。什么阻止他们编辑其他一切?当然不是你的行政标志。
存储管理标志的正确方式 在做什么?
没有,甚至没有关闭。正确的方法是设置单独的mysql用户,只需要他们需要的有限权限。使用文件权限可防止人们从Web文件夹中读取登录信息。
此外,您可以使用.htaccess file来控制对管理部分的访问。