Hi !

Ich arbeite momentan an einem Kundenverwaltungssystem, welches Modems Email´s Accounting...uvm verwaltet.
Ich verwände Orcale 9i als Datenbank dahinter. Der Zugriff erfolgt mittels RemObject & Dataabstract.

Client ----- Middelware------Database

Nun meine Frage zur Sicherheit.

Das Programm besitzt über einen Userloggin ,je nach Berechtigung kann der User gewisse sachen machen, oder auch nicht.

Da ich in einem anderen Thread schon mal gefragt habe über die Sicherheit von Visible oder Enable von Komponenten, und dieses als unsicher eingestuft worden ist, hab ich mir folgendes überlegt.

Wenn jemand einen Knopf drückt am Client z.B.

dann könnte ich doch in der DB einen Table anlegen, wo ich solche Proceduren aufnehme z.b

|ID|Name|
1|Button1Click

und diese mit dem Benutzertable verlinke.

Allso wenn jetzt ein User diese Procedure auslöst, eine Anfrage am Server mache, ob er sie auslösen darf.
z.b
UserID:Integer;
ProcedureID:integer;
checkUserPermission(UserID,ProcedureID):boolean

Ich würde dann zum Server UserID und ProcedureID senden und einen Rückgabewert mit false oder true erhalten.

Denke ich da richtig ? oder ist das auch ein Risiko?
Weil UserID und ProcedureID könnte man ja auch manipulieren oder?

Was würdet Ihr da Vorschlagen

lg
Bundy