Pull to refresh

Comments 16

а это разве безопасно?
Подключаем свою базу данных на DataIncrement, используя host, name, pass, dbname (пароль сохраняется в куках браузера или в сессии, т.е. на сайте не храниться, если что).
Смотря относительно чего мерить.
1. Если относительно первого попавшегося приложения для телефона, чтобы быстро поправить какое-то поле в базе. Например, выключить подписку пользователю. Тогда вполне безопасно, потому что пароль храниться в куках браузера.
2. А если относительно компа без выхода в интет — то под вопросом конечно.
Ну вы приколисты, а ничего, что у вас сайт даже без https. Т.е. все пароли к базе гоняются в каждом запросе в открытом виде.

Https это тоже не надёжно. Сейчас думаю сделать через скрипт.
Суть в том, что вы скачивание к себе на сервер короткий скрипт-транслятор запросов. Таким образом некакие пароли не будут выглядывать на руку в принципе. Доступ к этому скрипту можно ограничить легко по ip и секретному ключу. Таким пароли будут гарантировано спрятаны, и проще в настройках, и логирование запросов делается в пять минут.

Первое правило в криптографии — не нужно выдумывать криптографический велосипед.

Более, чем достаточно, поставить let's encrypt для начала. То что вы говорите, что данные только в куки передаются ничего особо не даёт к безопасности, так как безопасность на доверии — это не безопасность. Но то, что эти данные передаются в открытую по сути говорит о том, что о безопасности особо не задумывались. Тем более, что настройка Let's Encrypt бесплатна и делается в пару кликов, ладно бы вам нужно было сертификат за пару тысяч баксов покупать.

Насчет ненадежности https, это уже смешно, достаточно его настроить в соответствии с советами профи. Вряд ли кто-то будет проводить атаку MITM, с подделкой сертификата в случае вашего сервиса, если им конечно не будут пользоваться админы каких-то банков.

извините, но неудобно пишется слитно

пароль сохраняется в куках браузера или в сессии
так в куках или в сессии? а то получается хранится
Изначально, сохраняется в сессии. Чтобы можно было просто закрыть страницу и пароль точно нигде не записался. А вообще на странице настроек базы, можно настроить где хранить данные. Это актуально для имени пользователя и пароля. Вариантов хранения три: на сервере, в сессии, или в куках браузера.

зы. мне например не всегда удобно хранить пароль в куках, потому что приходится работать с разных машин и я не хочу чтобы там везде куки расставлялись, чтобы потом не забыть почистить.
У вас должен быть пользователь с возможностью подключения с любого хоста.

Собственно для серверов за NAT'ом уже не подойдет…

Думал про это, поэтому одна из идей написать открытый скрипт, который будет выкладываться на удаленный сервер для транслировать запросов и возвращения результатов в DataIncrement, для отображения. Типа микросервис по http.
Таким образом DI, вообще не будет в курсе параметров подключения к базе, а будет пользоваться лишь заданной ссылкой для отправки и получения данных.

вам уже много людей намекнуло и прямым текстом сказало — худшую архитектуру всего «проекта» придумать сложно.
Относительно какой архитектуры вы считаете?
ЭЭЭ… Но ведь phpMyAdmin прекрасно умеет делать это самостоятельно. Указываете связи между таблицами и в обзоре таблицы по кнопке Параметры есть Отображение связанного поля.

Здорово, если так. Возможно это сделано как-то не очевидно, что я пропустил. Пма очень навороченный, им надо уметь пользоваться.
А он умеет показывать два поля, например? Или если сложная связь через таблицу.
А может ли он подсказывать id записей, если мы вводим значение из другого поля связанной таблицы, например?

Ну это вам уже лучше самостоятельно. Я не погружался в детали
Sign up to leave a comment.

Articles