Administrace komentářů

aby uživatel mohl na databázi spustit libovolný SQL příkaz, a jen databáze hlídala, zda mu to dovolí

Ano to je správný přístup.

chcete posílat hesla nešifrovaně přes internet

Přečtěte si laskavě pořádně příspěvek na který reagujete, žádnou takovou touhu jsem nevyjádřil.

BTW i kdyby (a zdůrazňuji to kdyby) se heslo poslalo nešifrovaně tak je to pořád bezpečnější, když přes to heslo má útočník přístup jen někam, než když se heslo neprozradí ale díky jiným chybám bude mít útočník přístup všude.

tabulka položek v košíku nebo tabulka transakcí ale asi bude společná, jenom bude každý řádek patřit někomu jinému

Hmm, tak pro takhle jednoduchý příklad si uděláte view který zobrazí uživateli jen ty jeho řádky.

CREATE VIEW muj_kosik AS SELECT * FROM kosik WHERE uzivatel = CURRENT_USER;

Složitost sama!

Pro obecný případ se dá použít row level security. Securityfocus uvádí tutorial z roku 2003 (!). Dnes toto samozřejmě umí tato i jiné databáze mnohem víc. Určitě jen proto, aby to nějaký chytrolín všechno hned vypnul a dělal si "aplikační logiku"

Když použijete uložené procedury, znovu je musíte spouštět pod uživatelem, který má přístup k datům všech uživatelů – takže jste tu hranici pouze posunul z rozhraní aplikace–databáze dovnitř databáze na rozhraní uložené procedury – SQL.

Nevidím důvod proč by procedura měla mít nějaké vyšší oprávnění než ten uživatel. Její použití bude spíše takové, že ulehčí komplikované operace, nebo zavede dodatečné kontroly. Každopádně ale bude platit, že bez i s procedurou se nedostanu do košíku jiných lidí.

Dělat veškeré zabezpečení už na úrovni databáze je hezká věc, ale dnes se to moc nepoužívá, protože je jednodušší to zabezpečení udělat v aplikaci.

Zrovna jako je jednodušší všechno spouštět pod Administrátorem...

A pokud programátor aplikace není trouba, aplikace využívá jen omezenou sadu SQL příkazů, jejichž správnost je možné kontrolovat, a nedovolí uživateli spouštět libovolný uživatelem zadaný SQL dotaz.

Bohužel to není jen o kontrole SQL. Budete muset kontrolovat správnost úplně všeho, počínaje tím SQL, přes logiku, která implementuje Váš bezpečnostní model, vlastní pravidla v té logice, až po úplně nesouvisející kód, který ale při kompromitaci bude mít možnost pracovat s databází. Samozřejmě průměrné webové studio má dozajista dostatek prostředků i odborníků, takže ta kontrola je samo sebou, a předčí kvality desetiletí vývoje databází...

Když se na to podíváte takhle, tak nevím, jestli to je jednodušší. Samozřejmě ta jednoduchost je asi jen v tom, že to takhle nikdo nedělá. Každý si to napíše od boku, jak se mu to líbí. Jak jsem říkal, takový kód je pak možno použít jen tam, kde nějaké prolomení jednou za čas je přinejhorším "malá nepříjemnost".

BTW, proč si to takhle nezkusíte někdy naprogramovat, a pak si promluvíme znova.