Passer par un utilisateur intermédiaire pour se connecter à BDD

[afrodje]

:Salut:

Je suis en train d'administrer les droits d'utilisateurs sur ma base de donnée.

Alors pour le moment j'ai un utilisateur "admin" qui possede tous les droits et un autre utilisateur "user" qui possede des droits spéciaux (select et insert).

Je me suis demandé si c'etait judicieux de créer un 3eme utilisateur "connection" avec juste comme droits, select sur ma table membre, pour permettre de faire la requete pour verifier le login et mot de passe.

Puis selon le statut de l'utilisateur, la connection à la BDD se fera soit en "admin" soit en "users"

Pour etre plus clair, voici une partie du fichier login.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
 
$db_host="localhost";
$db_user="connection";
$db_pass="";
$database="toto";
mysql_connect($db_host,$db_user,$db_pass) OR exit ("Connection serveur impossible : " . mysql_error());
mysql_select_db($database) OR exit("Connection de la base de donnee $database impossible : " . mysql_error());
.
.
.
//Requêtes mySQL pour établir la validation.
$query = "SELECT * FROM membre WHERE pseudo = '$Nom_utilisateur' AND pass= '$password' " OR die ("Requete impossible : " . mysql_error());
 
//Exécution de la requête mySQL et affectation du nombre de rangés valides dans la TABLE.
$result = mysql_query($query) OR die ("Requete impossible : " . mysql_error());
//compte le nombre de resulat
$nombre_enregistrement = mysql_num_rows($result);
 
 
 
//si nom vide ou nomre_enregistrement different de 1
IF (($Nom_utilisateur=="") ||  ($password=="") || ($nombre_enregistrement != 1))
{
          echo '<h1 align="center">Vous devez choisir un pseudo et un mot de passe valide</h1><br />';
          echo '<h1 align="center"><a href="index.php">Retour</a></h1>';
}
 
else
{
              //Si il y a un enregistrement a la requete $query
              //la connexion est valide sinon invalide.
              IF($nombre_enregistrement == 1)
              {
                        session_start();
                        $_SESSION['nom'] = $Nom_utilisateur;
                        //recupere le statut du seul enregistrement (donc 0)
                        $statut=mysql_result($result,0,"statut");
                        $_SESSION['statut'] = $statut;
                        include 'connexion_bdd.php';
.
.
.

et le fichier connexion_bdd.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
IF ($_SESSION['statut'] == "admin")
{
          echo "connection admin";
          //Parametre de la base de donnée
          $db_host="localhost";
          $db_user="admin";
          $db_pass="";
          $database="toto";
}
else
{      echo "connection normal";
      //Parametre de la base de donnée
      $db_host="localhost";
      $db_user="users";
      $db_pass="";
      $database="toto";
}

edit : voila mon idée est fonctionnel mais est ce que cela peux augmenter la sécurité?

[afrodje]

Je me suis mal exprimé ??

Si vous ne comprenez pas ou si c'est complétement inutile.... dite le moi.

merci