Arsip: Nanya hak akses hanya pada record tertentu

 
user image
more 17 years ago

greatjon2002

maaf ya soale aku masih pemula nih. langsung aja, gimana caranya memberi hak akses pada suatu user agar user tersebut hanya dapat merubah record tertentu saja. misalnya nih: user | pesan ---------------- a | bakso a | teh b | mie ayam b | jeruk panas ------------------ lha bagaimana caranya agar user a hanya dapat merubah suatu record yang pada tabel diatas nilai fieldnya juga 'a'. misal a gak jadi pesan bakso tapi mie ayam. tapi a tidak bisa merubah pesanan b. aku coba pake view bisa, tapi apa pake view untuk semua user?ntar banyak dong viewnya, padahal kan dibatasi. gimana nih solusinya? makasih.... makasih..... atas jawabannya.
user image
more 17 years ago

yayaretina

ehmm.. aku asumsikan klo pesanan user terecord kedatabase.. pake filter..
'select from user, pesan from pesanan where user='+quotedstr('a');
layak dicoba...
user image
more 17 years ago

int2k

kalo dah ada view, pake parameter aja manggil view nya ato kalo di delphi, bisa dilakukan pengecekan dulu sebelum post/edit
user image
more 17 years ago

greatjon2002

engg......kalo pengecekan sebelum post/edit kita buat pake delphi, takute kalo ada yang tahu struktur table, hacker mbuat program sendiri pake delphi terus gimana? kan hak aksesnya belum dibatasi. btw aku dah nemu solusinya tp kayake haruspake mysql 5.0 keatas deh. jadi user-user gk diberi hak akses. tp pake stored procedure. stored procedure itu yang bisa mengganti jika field user=user(). terus stored procedure itu di grant ke user-user. misalnya: create procedure(in pesanbaru char(10)) begin update bla blabla where user=user(); end; btw lagi,belum kucoba je. soale aku baru download mysql 5.0 nih. wakakaka kira-kira kalo gitu sudah aman belum ya?
user image
more 17 years ago

_lmz

@greatjon2002: engg......kalo pengecekan sebelum post/edit kita buat pake delphi, takute kalo ada yang tahu struktur table, hacker mbuat program sendiri pake delphi terus gimana? kan hak aksesnya belum dibatasi. btw aku dah nemu solusinya tp kayake haruspake mysql 5.0 keatas deh. jadi user-user gk diberi hak akses. tp pake stored procedure. stored procedure itu yang bisa mengganti jika field user=user(). terus stored procedure itu di grant ke user-user. misalnya: create procedure(in pesanbaru char(10)) begin update bla blabla where user=user(); end; btw lagi,belum kucoba je. soale aku baru download mysql 5.0 nih. wakakaka kira-kira kalo gitu sudah aman belum ya?
oohhh paranoid :) tapi bagus kok. Memang bener kok yang seperti itu lebih baik pakai security di database. jarang lho yang mau buat seperti itu karena repot mengatur user databasenya :). Jangan lupa rasanya SPnya harus SECURITY DEFINER atau semacamnya (berjalan dengan hak akses pembuat SP). Sekarang satu skenario lagi (untuk menambah rasa takut): Hacker melakukan sniffing terhadap traffic mysql di jaringan untuk mengambil password yang tidak terencrypt atau mengganti library mysql client dengan library mereka sendiri yang merekam parameter user dan password. Pertahanan anda? :)
user image
more 17 years ago

ZeAL

Parnooooo... parnooo.. hahaha.. :D alternatif lain.. tiap record ditambah 1 field lagi yaitu untuk kepemilikan record... Jadi tinggal dibandingin aja, id saat login sama gak dengan id yang memiliki record tersebut.. Kalo sama, maka bisa diedit.. Tapi kalo gak sama, ya gak usah di tampilin atau gak bisa diedit..
more ...
  • Pages:
  • 1
Share to
Local Business Directory, Search Engine Submission & SEO Tools FreeWebSubmission.com SonicRun.com