[mysql/PHP] Welche DB-Rechte für Forum

[dow]

Hallo,

wenn man ein php-forum laufen hat, muss man ja in der config-datei (php) dazu einen benutzer mit passwort für den datenbankzugriff angeben.

Kann man aber nicht theoretisch wenn man auf die datenbank zugreift dieses passwort auslesen?, es wird ja schließlich auch irgendwie mit übertragen oder bleiben die daten nur lokal auf dem server?

meine eigentlich frage ist aber:
braucht der forumuser für die DB volle rechte oder kann ihn einschränken,
theoretisch denke ich es müssen die beiträge ja in die DB, geschrieben werden, editiert werden können und ich als admin muss ja auch löschen können, also volle rechte, aber wenn man da irgendwie rankommt kann man ja umgehen wie man lust hat.

Klärt mich mal bitte auf wie das alles richtig läuft.

danke für eure tips

dow

 

[Blutschlumpf]

Von außen kannst du User und Passwort gar nicht einsehen, denn der PHP-Parser gibt das ja nicht als HTML weiter. Und von extern kannst du nix machen, weil dir das passwort fehlt.
Die Verbindung zur Datenbank läuft ja zwischen PHP auf dem Server und MYSQL auf dem Server. Wo willst du die Daten denn abfangen ?

 

[dow]

also kommt nichts von den daten irgendwie nach aussen?

Also volle Rechte ohne irgendwelche bedenken.

thx

dow

 

[Blutschlumpf]

Wenn du im PHP Code keinen Mist baust und der Webserver richtig konfiguriert ist (wehe dem, dass PHP nicht läuft und der Code ungeparst rausgeht), dann dürfte niemals jemand den Code zum Verbindungsaufbau mitbekommen.

Aber prinzipiell kannst du die Rechte natürlich aufs nötigste beschränken.