MySQL, tables, users og sikkerhed

[Peter Maersk-Moller <sslug@sslug>]

Hej

Jeg er ikke helt sikker på at den passer ind på denne liste, men nu
er der blevet diskuteret en del mysql her.

Jeg har lavet en http_auth database og en user_info table som jeg bruger
til *authentication* af web-requests gennem Apache. Det hele er bundet
sammen af perl CGI-scripts.

Selve *authentication* er jo noget Apache selv gør gennem sit mysql-modul
og jeg bruger så perl og DBI-modulet til at populere denne her http_auth
db.

Nu til spørgsmålene.

1) Da jeg allerede har skabt en db (http_auth), bruger jeg den til at
indeholde alle de andre tabeller jeg skal bruge til mit web-site. Er
det struktur/performance/sikkerheds-mæssigt en dårlig ide ?

2) I øjeblikke bruger jeg kun een bruger til at logge på db'en, og den
ene bruger har så RW-rettigheder til hele db'en. Er det ikke en dårlig
ide ?

3) Bør man ikke oprette en selvstændig bruger (kun med læse-rettigheder)
til Apache, og bør den ene bruger ikke kun have læse-rettigheder til
user_info-tabellen (den med login-navn og password) ?

4) Hvordan opretter man en eller sådanne bruger/e med eget password.

5) Mine CGI-scripts er fyldt med sub-functions der for det meste
KUN læser data fra diverse tabeller i db'en. Bør det ikke gøres
med en bruger, der KUN har læseadgang til db'en, eller er det lige meget
når der andre steder i scriptet skal kunne skrives ?

mvh.

--PMM