我正在构建一个在mysql中添加和删除用户的php系统.它目前设置如下: - 用户尝试登录到站点 - 在projectdb.users(也是一个mysql用户凭据)中查找用户名和哈希值(sha256,salt,密码) - 找到它然后使用该用户名和密码在登录时执行任何mysql_connect
因此,当我在系统中添加用户时,我将他们的凭据添加到表中,并将它们添加为仅具有最小权限的mysql用户在projectdb数据库上.
但是当我添加一个管理员帐户时,我正在给予他们对该数据库的完全权限,并为他们提供mysql grant/add用户权限,以便他们可以添加更多用户.这似乎太强大,即使这些用户无法直接连接并登录到mysql(但如果他们可以添加任何人).
而不是实际将mysql用户添加到系统中是否更好地硬编码单个用户和管理员在php文件中的权限?有比这两个想法更安全的方式吗?