2 Yola:
....Поэтому обычно в веб делают две проверки, на клиенте и на саервере, на клиенте она кстати только для удобства, а на сервере реальная, которой можно доверять.

В разделе MSSQL уже все было отвечено - информации более чем достаточно, особенно про реализацию на стороне СУБД.
Обобщу:
* Web-клиент - при работе в определенной роли пользователя имеет ту страницу, к-рая ему нужна
- т.е под каждую роль нужна своя страница с полями/контролами. Также делает валидацию вводимых данных.
(А если пользователь решил похакать - не страшно, т.к ему все равно ничего не светит на серверной стороне)
* Web-сервер - выдает статические (хотя можно и динамически их строить) бизнес-страницы пользователю
в зависимисти от его текущей роли.
Возможно также делает какую-то валидацию вводимых данных дополнительно к серверу БД.
* Сервер БД - всегда делает валидацию вводимых и ограничение выходных данных.

2 tygra:
Если ты передаешь данные через POST, то хрен ты так просто это сделаешь - страницу то ты у себя откроешь, и передашь себе, а не на сервер :)

Почему это он их себе передаст? Если этот офисный хацкер будет использовать полный URL в <form action=..>, то все он передаст

Ну а на сервере проблемы то? Ест список полей, которые можно редактировать - вот ты их и сохраняй, другие не трогай.
А еще лучше, передавать весь набор значений в хп, а уж в ней смотреть, чего кто может

Присоединяюсь! Самый надежный способ, в конце концов пользовательских ролей у него не мильон