Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Pessoal, estou desenvolvendo uma web application dinâmica (File -> New Project -> ASP.NET Dynamic Data Linq to SQL Web Application) no Visual Studio 2010 Express.
Basicamente o que a aplicação faz é um cadastro de usuários e cada usuário pode criar sua própria página na qual fara upload de informações e arquivos. Não chega a ser rede social por que não haverá conexão entre usuários, mas todos podem ver todas as páginas, mesmo que não estejam logados.
Dessa forma estou em dúvida para melhor e mais segura implementação para o acesso a dados. O acesso será via internet mesmo, não intranet.
Seria melhor ter um usuário do sistema, com permissões de INSERT, DELETE, UPDATE e SELECT sem DROP, CREATE, etc. para fazer todas as modificações, então utilizando a mesma connection string para todos usuários e verificar se o registro a ser modificado confere com o do usuário logado somente no momento de acesso a ela, ou então seria melhor que cada usuário fizesse suas modificações com um usuário próprio para o BD? Há forma de fazer um GRANT DELETE e UPDATE apenas para os registros referentes aquele usuário em questão?
Para os arquivos pensei em fazer um diretório geral de arquivos e subdiretórios tendo como nome o login ou mesmo código do login de cada usuário. Como faria para que somente o usuário em questão tivesse permissão para modificar, incluir e excluir os arquivos de seu diretório?
Já aproveito para agradecer a atenção de todos.
>
Criar um diretório para cada usuário e usuário no banco para cada usuário acho muito complicado.
Seria legal ter um usuario distinto com essas permissões para evitar invasões que são poucos provaveis. Acho que a maior preocupação que você deve ter é com injeção de sql via url.
Abraços...
Opa, valeu pela resposta.
Li que stored procedures evitam a injeção de sql via url. Isso realmente procede, ou devo me preocupar mais com isso?
Acho que fica mais dificil sim, mas impossível não tenho certeza.
Abraços...
crie mecanismos e chaves de criptografias
e se sacar use RewriteURL, é uma boa e de tempos em tempos você troca a chave..
uma ideia mais louca seria você fazer a coisa dentro de um frame que as url's ficam mais 'protegidas' tipo, na página inicial de www.seusite.com.br tem um iframe que resolve tudo lá dentro..
com relação às permissões de banco, você deve criar prfis de acesso, e niveis de usuários, deixar tudo pronto como se fosse uma API
Criar um diretório para cada usuário e usuário no banco para cada usuário acho muito complicado.
Seria legal ter um usuario distinto com essas permissões para evitar invasões que são poucos provaveis. Acho que a maior preocupação que você deve ter é com injeção de sql via url.
Abraços...