台灣最大程式設計社群網站
線上人數
1033
 
會員總數:245219
討論主題:189090
歡迎您免費加入會員
討論區列表 >> MS SQL >> 動態設定該使用者只能看到特定table權限
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
動態設定該使用者只能看到特定table權限
價值 : 50 QP  點閱數:744 回應數:2

樓主

yi
初學者
50 7
123 14
發送站內信

[需求]
要建立一個網站,其中獨特的地方如下:
1.使用者會動態建立table , 並設定其權限。
2.提供使用者可用sql 語法去查資料。

我的想法如下:
使用者登入時,
固定一個專門連線用的使用者,這樣設定web.config 連線字串就比較單純,但該使用者沒什麼權限。
然後去獲取該使用者的權限(主要是確認可以看到那些table ... 並確認是否有select update insert delete權限)

然後再給與該使用者權限。
過程中也會動態變換權限。

最後登出時,清空使用者權限。

請問這做的到嗎?

PS: 使用者用sql 語法去查時,因怕sqljection , 若限定table與僅select權限,應該就足夠了吧?




搜尋相關Tags的文章: [ grant ] , [ 權限 ] , [ sqlinjection ] ,
本篇文章發表於2019-08-09 17:36
別忘捐VP感謝幫助你的人 新手會員瞧一瞧
1樓
要讓user 可以在asp.net的網頁直接下SQL 指令的話,

原則上就是分成2種連線

1種是有存取權限的帳號密碼
1種是只能select的 table權限...

讓使用者輸入sql 指令的那支程式, 就直接用只能select的帳密, 就解決了...
本篇文章回覆於2019-08-10 03:17
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
先建立一個帳號資料表

在建立一個欄位資料表

在建立一個帳號可以編輯的對照表

動態組出selectk的sql

前端的控件例如GEIDVIEW 可以將其設定 可視或不可視 不可視當然就無法編輯
本篇文章回覆於2019-08-15 22:38
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.