Discussion :

[fourchette]

je poste dans mysql parce que je suis sous mysql
mais en vrai c'est plus une question de concetion pour admin DB en général, peu importe le systeme. Bref si un modo veut bien rediriger le message sur un forum plus approprié je dis pas non

bref

dans un contexte d'appli web destiné à plusieurs groupes de users completement indépendants.

l'appli web tape dans mysql pour récuperer des données du groupe.

chaque groupe a sa propore base de donnée. La structure est complemente idientique d'une base à l'autre. c'est juste que les données du groupx X doivent rester séparées du groupe Y

A ce jour, les données sont accédées par un user mysql "webapp" qui a les droits sur toutes ces bases.

les users quant à eux sont dans un ldap.

donc ma question:

d'un point de vue de sécurité, de performance, de confort d'administration, etc
est-ce plus interessant de conserver l'approche actuelle
ou
mettre un seul mysql par base ?

j'aurais bien aimé avoir qqs avis pour me faire une idée

[Antoun]

Si un groupe ne doit pas accéder à la base de l'autre groupe, il est évidemment plus clean de lui créer un compte spécifique, avec des privilèges restreints.

[fourchette]

merci pour le feedback.

J'ai des avis constrastés sur le sujet
pas sur le fait que ca soit plus clean.
non ca personne ne le consteste.
Par contre, ce que j'ai entendu à droite à gauche c'est que
* en terme de perf c'est exactement pareil
* par contre c'est + d'administration
* la securité additionnelle ne vaut pas la complexité addtionnelle induite par un tel changement

notamment il faudrait attribuer un userPassword aux noeuds ldap désignant les groupes et parametrer mysql pour pour pouvoir s'authentifier avec ca + gérer les restrictions avec des expressions régulières dans mysql

bref du compliqué, de la documentation à lire, des tests à faire dans ts les sens...

pour au final, plus de complexité à maintenir que juste un seul compte.

d'ailleurs l'appli web a un seul compte systeme pour accéder aux fichiers par exemple (meme s'il y a de la logique applicative pour interdire des accès)

qu'en penses-tu Antoun?

Peux-tu donner un exemple où les données pourraient etre compromises ?

[fourchette]

mmm... à la reflexion j'ai un exemple de scenario où les données peuvent etre compromises.

tout simplement, les users ont la possiblité de pousser une sauvegarde de leur base. Cette sauvegarde est tout simpement .sql.gz (un mysql gzippé) de leur propre base.

Mais rien ne les empeche de mettre n'importe quel code sql dans ce fichier au lieu du dump que leur a créé l'appli. comme par exemple polluer ou supprimer les données d'un autre groupe (s'ils arrivent en deviner le nom, certes...)

Donc oui c'est mieux d'avoir un mysql user par groupe d'utilisateur.

du coup la question devient plutot

comment faire pour administrer simlement plusieurs milliers de comptes et de databases avec mysql ?

ce qui devrait faire l'objet d'un autre post je suppose puisqu'ici ma quesiton initiale est maintenant résolue.