С каким пользователем я должен делать запросы в postgres и php

Question

Вот текущая ситуация: у меня есть страница входа, на которой пользователь вводит свое имя пользователя и проходит.Затем я подключаюсь к базе данных с помощью «жестко закодированного» пользователя (в сценарии), который открывает соединение с сервером и выполняет запрос, чтобы проверить, действительны ли эти данные, предоставленные этим пользователем, и если да, то он «распознает» его как вошедших в систему.Это сценарий, который я видел и использовал в большинстве своих приложений.

Теперь, так как у меня уже есть база данных со многими пользователями (роли базы данных postgres, а не таблица «пользователи» - я должен подчеркнуть это, чтобы не вводить вас в заблуждение), мне было интересно, будет ли это хорошей практикой делатьpg_connect с именем пользователя и паролем, которые пользователь вводит на странице входа в систему.

Мой следующий вопрос: как мне тогда сохранить их в системе?Переменная сеанса с именем пользователя и хешированным паролем?Как это влияет с точки зрения безопасности?

Буду признателен за ваши ответы, и любые хорошие материалы для чтения приветствуются!

Answer 1

Я не думаю, что это вообще мудро. Технически у вас будет пользователь root или администратор, который может DROP или ALTER таблицы правильно? Вы вообще не хотите, чтобы пользователь мог получить доступ к вашей базе данных.

Почему у вас нет отдельной таблицы (на данный момент)? Если вам требуется, чтобы ваши пользователи имели реальный доступ к базе данных (для другой системы или приложения), вам все равно следует создать правильную таблицу пользователей.

Вы всегда можете написать скрипт, который будет синхронизировать данные из таблицы пользователей внутренней БД с таблицей пользователей вашего приложения.