AW: Rechteproblem bei MySQL
Also ich habe dann folgende Abfrage:
Tabelle: Nutzer
Spalten: ID, Nutzername, Passwort
Ich gebe dem Nutzer die ganz normalen Rechte SELECT über die Spalte ID.
Ich gebe dem Nutzer meine gerade erfundenen Rechte "WHERE" über die Spalten Nutzername und Passwort. Diese kann er nur in der WHERE-Klausel verwenden, nicht aber in der SELECT-Klausel.
So würde folgende Abfrage die ID des test-Kunden liefern:
SELCT ID FROM Nutzer WHERE Nutzername = 'test' AND Passwort = 'xyz'
aber folgende Funktion einen Fehler (von MySQL ausgehend) verursachen:
SELCT ID, Passwort FROM Nutzer WHERE Nutzername = 'test' AND Passwort = 'xyz'
Ich will im Endeffekt nur den Nutzer daran hindern, Daten abzurufen, die ihn nichts angehen, ihm aber den Zugriff über die Vergleichbarkeit der Daten lassen. Das halte ich für sicherheitsrelevant. Situation: Ein Partner von uns soll ein Modul programmieren, bei dem es auch einen Loginbereich gibt. Ich kann dem Partner aber doch schlecht einen Zugang liefern, der Ihm den Zugriff auf Kundendaten sichert.
|