以下是目前的情况:我有一个登录页面,用户输入他的用户名并通过。然后我使用“硬编码”用户(在脚本中)连接到数据库,该用户打开与服务器的连接并执行查询以检查用户提交的数据是否有效,如果是,则“识别”他登录这是我在大多数应用程序中看到和使用的场景。
现在,因为我已经拥有一个拥有许多用户的数据库(postgres数据库角色而不是表“用户”) - 我必须强调这一点不要误导你)我想知道用一个pg_connect做一个好的做法是不是很好用户放入登录页面的用户名和密码。
我的进一步问题是如何让他们登录?具有用户名和哈希密码的会话变量?从安全角度来看,这会受到什么影响?
我将非常感谢您的回答,并感谢任何好的阅读材料!
答案 0 :(得分:2)
我认为这根本不是明智之举。从技术上讲,你会有你的root或admin用户可以DROP或ALTER表吗?您根本不希望用户访问您的数据库内部。
为什么你没有单独的表(此刻)?如果您要求您的用户拥有真正的数据库访问权限(对于其他系统或应用程序),那么您仍应创建一个合适的用户表。
您始终可以编写一个脚本,将内部数据库用户表中的数据同步到您的应用程序用户表。