Zitat von
Jelly:
Mit der Abfrage in deine Anwendung hast du noch kein Sicherheitsloch gestopft. Die Tabellensperre muss auf Datenbankebene erfolgen, vorausgesetzt du nutzt ein Datenbanksystem, welches das auch unterstützt. Von Firbird über
MySQL, bis hin zu
MSSQL oder Oracle bist du da aber auf der sicheren Seite.
Dies bringt aber nur dann was, wenn Du festlegen kannst, das der User x die Tabellen a, b, c schreiben darf, den View x öffen darf und die Stored Procedure z ausführen darf.
Dies wird aber für 90% der Anwendungen nicht der Fall sein (z.B. der User X darf nur Kunden aus dem Gebiet X sehen bzw. bearbeiten oder nur Aufträge bis 10.000 EURO eingeben), so daß eine eigene Benutzer/Rechteverwaltung nötig ist.