[shisik]

Цитата Volrath:

Я к тому, что если делать запрос через тот же .php нужно усатновить сперва соединение с БД, чтобы проверить "есть ли в таблице 'Usr' хэш 'pass', где 'log' = введенный 'log' " Если это так, то в скрипте указывается пользователь и пароль у которого есть права на чтение из таблицы "Usr". »

Совершенн оверно. Серверные скрипты устанавливают соединение с БД, используя логин и пароль пользователя этой базы (не путать с учётками на сайте). Права у этого пользователя могут быть разными, но как минимум они позволяют выполнять запросы SELECT, UPDATE, INSERT и DELETE, то есть серверные скрипты имеют возможность не только получать, но и изменять данные в базе.

Опасно ли это? Нет, не опасно. Если только скрипты не позволяют кому угодно выполнять произвольные запросы. Ну то есть допустим у нас есть скрипт login.php, котооые при POST запросе к нему извлекает аргументы login и pasword, санитизирует их (в смысле экранирует управляющие символы, исключая возможность вставить произвольный SQL код в запрос), после чего выполняет SQL запрос и формирует ответ. Если логин или пароль не указан - перенаправляет на страницу логина с сообщение о неполных данных. При этом никакие данные из базы клиенту не отправляются.

Цитата Volrath:

-"как защащают доступ из вне, чтобы потльзователь не получил доступ к скриптам"? Например: можно попробовать скачать файл "www.mysite.net/scripts/signin.php" »

Как его можно скачать? При обращении по этому адресу скрипт будет выполнен и выдаст ошибку, т.к. запрос некорректен.