D
Ну права доступа уж никто не отменял
Зачем так заморачиваться, если все уже решено ) Во имя нашего же с вами блага )
Size: a a a
2020 February 12
РД
Eugene
Это клиент, на клиенте нет никаких прав доступа, все, что есть в браузере есть в прямом доступе клиента
Я имею ввиду, клиент делает запрос в БД, сервер фильтрует права - и, если все хорошо, перенаправляет в базу
E
Я имею ввиду, клиент делает запрос в БД, сервер фильтрует права - и, если все хорошо, перенаправляет в базу
ну да, затем сервер и нужен
E
фильтрует запросы, логирует их, отправляет письма и делает еще кучу всякой работы, которая на клиенте никому не нужна
РД
А что мешает клиенту бизнес-логику прописать? Какая разница, где она (я же ее не во View пихаю)?
D
Я имею ввиду, клиент делает запрос в БД, сервер фильтрует права - и, если все хорошо, перенаправляет в базу
Ростислав )))) Что если я открыл ваш клиент, и поменял запрос ?) Вы на сервере будете парсить мои запросы и проверять их на валидность ?)
D
А что мешает клиенту бизнес-логику прописать? Какая разница, где она (я же ее не во View пихаю)?
Фактически, клиент и есть в некотором смысле VIEW )
E
А что мешает клиенту бизнес-логику прописать? Какая разница, где она (я же ее не во View пихаю)?
большая, клиенты и так тяжелые, а вы его еще обременяете бизнес логикой
E
плюс, открываете её для кллиента
E
даже если вы сто раз обфуфицируете код, я все равно пойму какие у вас там ip и прочее
РД
Ростислав )))) Что если я открыл ваш клиент, и поменял запрос ?) Вы на сервере будете парсить мои запросы и проверять их на валидность ?)
Ну да. Хочешь такую табличку - а можешь ее читать?
Хочешь данные такого user_id - а можешь его читать?
Разве сервер не тоже делает?
Хочешь данные такого user_id - а можешь его читать?
Разве сервер не тоже делает?
E
Ну да. Хочешь такую табличку - а можешь ее читать?
Хочешь данные такого user_id - а можешь его читать?
Разве сервер не тоже делает?
Хочешь данные такого user_id - а можешь его читать?
Разве сервер не тоже делает?
Вот именно, что это работа сервера
РД
Eugene
даже если вы сто раз обфуфицируете код, я все равно пойму какие у вас там ip и прочее
А это сильный секрет разве? Защита вроде везде должна быть
РД
Eugene
Вот именно, что это работа сервера
(фильтровать права доступа?)
D
Ну да. Хочешь такую табличку - а можешь ее читать?
Хочешь данные такого user_id - а можешь его читать?
Разве сервер не тоже делает?
Хочешь данные такого user_id - а можешь его читать?
Разве сервер не тоже делает?
Ну а теперь представьте, что сервер еще будет проверять ваши SELECT\UPDATE\...
E
А это сильный секрет разве? Защита вроде везде должна быть
конечно сильный, если не сильный, то кинь доступы к своему phpmyadmin))) а че такого, защита ж
E
(фильтровать права доступа?)
какие права доступа? основываясь на чем?
РД
Ну так он же с паролем :)
Что ты сделаешь, если знаешь ip, но не знаешь остального?
Кроме как ботов натравишь
Что ты сделаешь, если знаешь ip, но не знаешь остального?
Кроме как ботов натравишь
РД
Eugene
какие права доступа? основываясь на чем?
Ну через авторизацию я имею ввиду