Zitat von
Sir Rufo:
öh, in deiner View ist irgendwie alles enthalten und das ist dann sicherer
So eine SP kann man auch intelligent aufbauen.
In der SP wird z.B. der
SQL-Benutzer mit ausgewertet ... was darf der sehen
Oder gib als zusätzliche Parameter einen Benutzernamen und das Passwort (als MD5-Hash) mit und mach daran die Selektion fest.
Eine SP darf durchaus intelligent funktionieren
cu
Oliver
@1
Ja ist es, weil in der View nur die Daten meiner Mandanten drin sind.
Ganz ohne
SQL-Abfrage, Where-Klausel, Parameter oder sonst was.
Die View weiß also von Haus aus, wer sie öffnet (postgres-funktion current_user) und was dieser sehen darf
@2
Ok, wenn man das so macht hast Du natürlich Recht.
Aber diese doppelt- und dreifach-überprüfung entfällt in meinem Falle halt komplett,
weil das die View das schon intern regelt.
Das was Du geschrieben hast ist ja fast(!) das was mein Programm vorher PHP-Seitig gelöst hat.
Da wurde auch alles immer gegeneinander geprüft und verglichen.
Nur das man es quasi von PHP auf
DB Ebene verschoben hätte.
...
Das brauche ich jetzt aber eben eigentlich gar nicht mehr.
Denn ich bin wie gesagt auf Datenbankebene schon so eingeschränkt,
dass ich nicht an die Daten anderer Mandanten (und darum gehts ja) komme.
Dafür muss ich direkt auf die Datentabelle und das darf ausser dem Admin keiner.
(Oder ich schaffe es mich als anderer Datenbankbenutzer anzumelden, aber dagegen kann man dann eh nix machen).