Является ли хорошей практикой иметь разных пользователей для разных типов запросов?
Я использую MySQL и PHP для проекта, над которым работаю. Я создал отдельных пользователей для выполнения различных функций (один для выполнения запросов выбора, один для выполнения запросов на обновление и т. д.), Чтобы обеспечить дополнительный уровень безопасности. Таким образом, я полагаю, что если кому-то удастся провести атаку с помощью инъекции (что маловероятно, поскольку я использую подготовленные операторы), все, что они могут сделать, будет ограничено типом запроса, который изначально предназначался для выполнения. Это хорошая практика или не стоит беспокоиться?
Ответы 2
Лично я не думаю, что стоит заморачиваться, так как его сложнее кодировать, тестировать и развертывать. Вместо этого убедитесь, что ваше программное обеспечение невосприимчиво к SQL-инъекциям.
Помимо расширенной логики, у вас также будут разные связи и существенные накладные расходы в этой области.
ИМХО, разумно не выполнять все ваши запросы в веб-приложении с пользователем root, и если данные такие горячей, убедитесь, что у назначенного пользователя нет привилегий DROP, DELETE и т. д. Вы можете реализовать мягкое удаление, если это необходимо в вашем приложении.
И последнее, но не менее важное: очистите весь GPC и убедитесь, что в ваших запросах правильно цитируются / экранируются файлы. Использование подготовленных операторов может быть одним делом, но в конечном итоге это может быть так же просто, как использование mysql_real_escape_string () или любых других методов цитирования, которые предлагает ваш DBAL / ORM.