slackmanВсем привет!
Разрабатывал информационную систему, в общем учебный проект для диплома.
PostgreSQL & PHP (win32)
Так как учебный проект, старался выполнить ТЗ и суть задачи. В системе работают сотрудники компании и менеджер, который раздает им задания.

1. Я не обращал внимания на безопасность системы в целом. Т.е. пароли сотрудников хранятся в БД открытым текстом. Как мне известно тип поля для Postgre как password нету. Как можно выйти из ситуации на случай вопросов комиссии? :) (Выход ли на уровне php делать алгоритмы шифрования и использование безопасных протоколов?)

Есть класный подход - пароли юзера - пароли СУБД. Т.е. если пользователь ввел пароль и SQL-сервер впустил, то все ОК, если нет - болт. Если коннект к СУБД происходит под одним аккаунтом - лучше хранить хеш пароля (например md5) затем строить хеш пароля, который ввел пользователь и их уже сравнивать.

slackman
2. Т.к. я в этом относительно новичок, что такое SQL injection? Что значит, нет защиты от SQL Injection?
Спасибо!
SQL Injection -это внедрение чужого кода в твой SQL. Недавно была тема с обсуждением - поищи. В кратце: пользователь вводит пароль в поле, а потом ты пишешь запрос:
Ессно хитрож*пый юзер вводит в текстовое поле: 'yo'' or '1'='1 . и как ни странно войдет в систему ибо какой будет реальный запрос на выполнение догадаться не сложно.

slackmanСпасибо за ответ! понял..... но,
На счет вашего подхода номер 1. пароли юзера - пароли СУБД. Т.е. если пользователь ввел пароль и SQL-сервер впустил, то все ОК, если нет - болт. Т.е. вы предлагаете
1. создавать для пользователей Role's в postgre?
Или же
2. у всех юзеров есть пароль СУБД и все вводят его для аутентификации? (понятно что пароли СУБД хранятся хорошо) Если второй вариант то прикольно....
1. Вариант. Т.е. для каждого юзверя физического, создается логический, которому даются права толковой роли. (у меня это в триггере реализовано).
2. Не понял :( Кроме того пароли в СУБД хранятся не то что бы хорошо, но ИМХО в мд5, и судя по докам доступ к ним напрямую - закрыт.