Also der User kann keine SQL-Abfragen wahllos abfeuern... hoffe ich zumindest
Die SELECT-Abfragen zur Datensatzansicht sind für den User entsprechend seiner Rechte und Zugehörigkeit gefiltert, klar. DIE UPDATE- und INSERT-Abfragen werde ich mit der vorgeschlagenen SESSION/UniqueID-Methode sichern.
ALLE SQL-Strings die aus Eingabemasken oder GET/POST kommen, werden vorher durch mysql_real_escape_string() entschärft!
Zur Anwendung selbst:
Es geht hierbei um ein System bei dem mehrere Verkäufer ihre Kundentermine und Umsätze einpflegen. Jeder Verkäufer sieht nur seine eigenen Einträge. Der Vorgesetzte sieht wiederum alle Einträge SEINER Verkäufer. Vorgesetzte gibt es mehrere... Und das ganze staffelt sich dann nach oben wie eine Art 'Schneeballsystem'... Ganz oben sitzt dann EINER der ALLES sehen darf.
Aber ich denke ich bin hier schon mal auf nen ganz ordentlichen Weg
Die SELECT-Abfragen zur Datensatzansicht sind für den User entsprechend seiner Rechte und Zugehörigkeit gefiltert, klar. DIE UPDATE- und INSERT-Abfragen werde ich mit der vorgeschlagenen SESSION/UniqueID-Methode sichern.
ALLE SQL-Strings die aus Eingabemasken oder GET/POST kommen, werden vorher durch mysql_real_escape_string() entschärft!
Zur Anwendung selbst:
Es geht hierbei um ein System bei dem mehrere Verkäufer ihre Kundentermine und Umsätze einpflegen. Jeder Verkäufer sieht nur seine eigenen Einträge. Der Vorgesetzte sieht wiederum alle Einträge SEINER Verkäufer. Vorgesetzte gibt es mehrere... Und das ganze staffelt sich dann nach oben wie eine Art 'Schneeballsystem'... Ganz oben sitzt dann EINER der ALLES sehen darf.
Aber ich denke ich bin hier schon mal auf nen ganz ordentlichen Weg
Kommentar