|
su.dbms
- SU.DBMS ----------------------------------------------------------------------
From : Denis Gorbunov 2:5020/400 20 Dec 2002 09:37:49
To : Ilya Zvyagin
Subject : Re: Права доступа на уровне записей
--------------------------------------------------------------------------------
Hello, Ilya!
You wrote to Denis Gorbunov on Thu, 19 Dec 2002 08:11:00 +0000 (UTC):
DG>>>> Я к тому, что, ограничив доступ на уровне записей, надо еще
DG>>>> прикинуть, а как это повлияет на отчеты и пр..
IZ>>> А в отчетах их можно и не проверять, или проверять по-другому,
IZ>>> например - права на отчет.
DG>> А это уже к СУБД не имеет отношения, так как может быть реализовано
DG>> только на уровне приложения.
IZ> Это получение-то данных для отчета ? Hу-ну.
Hе получение данных для отчетов,
а специфические ограничения доступа к данным
для разных случаев:
одним способом (для отчетов, например)
и другим (для ввода данных, например).
Hа уровне СУБД - все едино - для отчетов ты данные
получаешь или еще для чего. Следовательно, на уровне
СУБД ты не можешь выставить для одного случая
одно ограничение, а для другого - другое.
DG>> Если ставить защиту от такого программера, то данные для отчетов ты
DG>> уже не получишь никак иначе, кроме как с учетом ограничений
DG>> доступа.
IZ> Hу правильно, я и говорю, что в процедуре получения данных для
IZ> ОТЧЕТА эти ограничения могут быть и другими немного. Вообще, отчет
А я уже писал, что если речь идет о приглашенном программере,
то, если из СУБД каким-либо образом можно высосать секретные данные,
то он высосет. Если, разумеется, приглашенный программер-нелегал
будет пытаться добраться до данных, работая на уровне запросов СУБД.
И, в общем случае, нет у сервера БД возможности определить, кто это
там данных хочет, отчет легальный или программер нелегальный.
Следовательно, РАЗЛИЧHЫЕ (для одного случая - одни,
для другого случая - другие) ограничения доступа можно
устанавливать только на уровне приложения.
IZ> В таком случае можно выдать права на выполнение отчета, и, несмотря
IZ> на то, что у пользователя нет прав на просмотр этих счетов,
IZ> пользователь будет их видеть через этот отчет, потому что они в него
IZ> входят.
В СУБД нет такого понятия как "отчет". Есть такое понятие как "данные".
"Отчет", который обращается к "данным" функционирует на уровне приложения.
Таким образом, запретив доступ к отчету на уровне приложений,
ты не ограничиваешь, тем самым прямого доступа к самим данных
на уровне СУБД.
--- ifmail v.2.15dev5
* Origin: Golden Telecom (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
