В приложении есть генератор отчётов(Report Builder для Delphi), в нём пользователи могут менять SQL.
то, что там пропускаются штуки типа "drop table" - это полбеды. В конце концов можно не давать пользователю прав на такое. Но нельзя не давать прав на update. А с ним можно наделать делов не меньше:



Как бы запретить пользователю в определённых режимах делать что-то кроме SELECT, в рамках его привилегий?

Есть конечно вариант прикрутить какой-нибудь "проверяльщик SQL строки на безопасность". Если таковые есть - тоже вариант. Подскажите. Понятно, что DROP, CREATE, UPDATE и DELETE я сам могу выпилить, а какие ещё засады могут встретиться?

X-Cite,
Репорт билдер никак не ограничивает SQL statement, можно хоть DROP засунуть (но он сработает, естественно, только с учётки админа). Отчётов - сотни, пользователи должны их менять (иначе айтишникам кранты)

ёёёёё,

Ну да, и кривым селектом. Но это не страшно (убить процесс не проблема) - страшна потеря данных. Тридварасов нет, но люди ошибаются.

ёёёёёVictor Cookin,

юзеры не будут отчёты менять, тем более - с применением sql.


А кто сотни отчётов в таком случае наструячил?

ёёёёё,

Ну не программёры же будут этой фигнёй заниматься. Был дан образец и - понеслось. Пока, тьфу-тьфу, никаких засад не было. Но кто ж знает что может быть.

DimaBr,

активных отчётов 553, всего за 10+ лет - 12548. Все в базе хранятся.

GatorЗа 10 лет вполне можно было устаканить права на объекты и расписать роли
(sorry for offtop)
интересно как в Оракле, например, можно дать пользователю возможность работать на изменение только с одной записью? Триггеры не предлагать.

asutp2а потом ты жалуешься, что юзеры могут использовать update или delete :-)
жалуюсь, да. Мне кажется в отчётах пособные запросы должны блокироваться.

asutp2и кстати, довольное странное отношение к отчетам, ты называешь их "фигней"
это парафраз ёёёёё(сколько нужно платить, чтобы разумное существо согласилось выполнять такую работу?).

asutp2на мой взгляд со стороны это уже вполне себе серьезный момент, требующий правильной организации
Все по псевдопапочкам разложено)

_Vasilisk_Так же как и везде - через View. Можно даже с одним полем
не понимаю как

fraksIMHO там бОльшая часть отчетов повторяет друг друга, может быть отличаясь в мелких ньюансах.
Ибо при таком количестве отчетов вместо того что бы разбираться нет ли уже такого существующего, юзерю проще сделать новый, на основе какого-нибудь другого. И таким образом хаос нарастает.

Да нет никакого хаоса. Ну да, меняют. Год поменялся, НДС поменялся...

softwarerНапример, можно открыть культовую книгу Тома Кайта, которую всегда рекомендуют прочитать любому новичку. Там этому вопросу посвящена одна из глав.

У Кайта много книг. В основном как раз для профессионалов. Какую конкретно книгу Вы рекомендуете.

softwarerА что ещё не предлагать? Опубликуйте, пожалуйста, весь список. SELECT, INSERT, UPDATE и DELETE туда войдут?

Нет, только триггеры не предлагать.