Administrace komentářů

Nevidím důvod proč by procedura měla mít nějaké vyšší oprávnění než ten uživatel. Její použití bude spíše takové, že ulehčí komplikované operace, nebo zavede dodatečné kontroly. Každopádně ale bude platit, že bez i s procedurou se nedostanu do košíku jiných lidí.

Pokud procedura zavádí dodatečné kontroly, znamená to, že uživatel k dané věci nesmí mít práva (jinak by snadno dodatečné kontroly obešel tak, že by příkazy z procedury spustil bez kontrol). Tedy procedura musí běžet s právy jejího vlastníka, která musí být vyšší, než práva uživatele.

Zrovna jako je jednodušší všechno spouštět pod Administrátorem...

Jádro operačního systému taky klidně můžete naprogramovat tak, že bude mít různé úrovně oprávnění. Přesto se to ve spoustě systémů (i v Linuxu) řeší tak, že v jádru běží „vše pod Administrátorem“, a práva se řeší až v uživatelském prostoru.

Bohužel to není jen o kontrole SQL. Budete muset kontrolovat správnost úplně všeho, počínaje tím SQL, přes logiku, která implementuje Váš bezpečnostní model, vlastní pravidla v té logice, až po úplně nesouvisející kód, který ale při kompromitaci bude mít možnost pracovat s databází.

Bezpečnostní model budu muset kontrolovat v obou případech, akorát jednou bude zapsán v aplikační logice, podruhé v databázové. Nesouvisející kód z tohoto pohledu kontrolovat nemusím – buď kód pracuje s databází a pak se v něm používá omezená množina SQL příkazů, nebo s databází nesouvisí, a pak ho nemusím kvůli bezpečnosti dat v DB řešit. Pokud je někde chyba, která umožní v kontextu aplikace spouštět útočníkův kód, je možnost přístupu do databáze pouze jedním dílčím průšvihem…

BTW, proč si to takhle nezkusíte někdy naprogramovat, a pak si promluvíme znova.

Protože programuju tak, že používám v databázi pohledy a uložené procedury a v aplikaci mám už jen jednoduché SQL příkazy. Což je o dost víc logiky v databázi, než jak se dnes s databázemi běžně pracuje. Dělat na straně databáze i ověřování přístupových práv se podle mne nevyplatí – třeba proto, že nepotřebuju jen dělení na jednotlivé uživatele, ale třeba i na jejich session, a to už bych tu logiku musel psát dvakrát – jednou v databázi pro uživatele, podruhé v aplikaci pro session. A některé věci bych jen s pomocí databáze dělal horko těžko, nebo by nešly udělat vůbec – ať už je to HTTP digest přihlášení, „malé“ přihlášení (uživatel je na základě cookie identifikován, může prohlížet část údajů, ale ne všechny a není mu umožněn zápis, to až po přihlášení heslem), nebo třeba změna zapomenutého hesla. První případ je bez podpory v databázi neřešitelný, druhé dva vyžadují použití „skoro všemocného“ uživatelského účtu, který umožní obejít oprávnění kontrolovaná databází, a aplikace musí umět tenhle účet použít – jakmile něco takového do aplikace zavedete, je vám k ničemu to, že ostatní přístupová práva chrání databáze.