In connessione php a db mysql, password e user non vengono controllate...??

Ho preso una banale paginetta da html.it per accesso a db e l'ho messa su così come stava.

Funziona tutto. Si connette al db, legge tranquillamente tutte le tabelle e ne mostra il contenuto.


Perfetto.


Il problema sta nel fatto che funziona anche se metto user e password sbagliate

In pratica se io facessi una pagina di login per proteggere delle pagine amministrative di modifica del db il navigatore potrebbe tranquillamente metterci a caso user e password e riuscirebbe ad entrare lo stesso

Notare che non ho abilitato ulteriori user oltre a ppb e il db è esattamente nello stato iniziale da quando l'ho attivato, pochi giorni fa.


Ovviamente voglio che possano accedere al db via pagine php solo utente abilitate e riconosciute con password

Cosa sto dimenticando?


Grazie

------------------



<?php
// Connecting, selecting database

// dovrebbe bloccare l'accesso all'user ciccio invece non lo fa
$link = mysql_connect('localhost', 'ciccio', 'ciccio')
or die('Could not connect: ' . mysql_error());
echo 'Connected successfully';
mysql_select_db('my_ppb') or die('Could not select database');

// Performing SQL query
$query = 'SELECT * FROM inutile';
$result = mysql_query($query) or die('Query failed: ' . mysql_error());



// Printing results in HTML
echo "<table>\n";
while ($line = mysql_fetch_array($result, MYSQL_ASSOC)) {
echo "\t<tr>\n";
foreach ($line as $col_value) {
echo "\t\t<td>$col_value</td>\n";
}
echo "\t</tr>\n";
}
echo "</table>\n";

// Free resultset
mysql_free_result($result);

// Closing connection
mysql_close($link);
?>

Stai dimenticando che la connessione al tuo database può essere effettuata soltanto dal tuo sito, per questo motivo la password è facoltativa al momento della connessione con il database.

ma questo svuota completamente di significato una procedura di login!

come faccio a impedire che tutti possano accedere al mio db solo perchè usano le pagine del mio sito?

[alemoppo]

Scusami ma non ho capito il problema:

Solo te puoi accedere (mediante codice php) al db. Chi altro?? Come??
Io, ad esempio, non posso collegarmi al tuo db perché ci si può collegare soltanto dal tuo spazio (per questo non è necessaria la password...).

come faccio a impedire che tutti possano accedere al mio db solo perchè usano le pagine del mio sito?

Codice:

if($voglio)
login();
else
echo "Non puoi loggarti...";

Il codice non te lo può cambiare nessuno

(ricorda che è php e non html...)

CIAO!

edit: anche io mi ero posto questo problema!

mi spiego meglio

devo per forza gestire io una tabella "mieiutenti" e verificare esplicitamente nei miei php se la user indicata da un qualsiasi navigatorre in una pagina di login esiste in questa tabella?

pensavo che le utenze su un db potessero essere gestite direttamente da mysql con le sue tabelle utenti, impiegando GRANT E REVOKE per i diritti di accesso alle varie viste e tabelle.

devo fare come è specificato qua insomma...??

no non puoi fare quello che tu stai dicendo. Tu sei un utente non sei un admin del tuo db, non puoi crearea altri users.

E, quindi, rispondendo alla tua domanda, si, devi crearti una tua tabella e gestire tramite php l'accesso dei vari utenti con i vari privilegi.

sigh
grazie