14/08/2023 - amorosik ha scritto:
“.. perchè se sono un utente che ha accesso al database..” vuoi dire che se vedi una password dentro al db, crittata aes256, riesci a decrittarla?
Credo che si stia facendo un po' di confusione…
A parte che se sono dentro al database, decrittare la password è superfluo.
Esiste una protezione a livello database, quella dove il programma si collega tramite user e password.
Poi, ripeto, poi, ci sono le password degli utenti che devono utilizzare il programma (tramite maschera). L'utente si logga e si fa riconoscere e tutto finisce li.
Il programma, si collega al db con la password del db. Nel senso che se rubi la password dell'utente pippo, non puoi entrare nel database access ma nella maschera del programma.
Per fare un esempio, se ti registri al sito vattelapesca e ti assegnano un utente e una password, non hai accesso al server, semplicemente il programma che si collega al server tramite una user ed una password del server (oltre che permessi) e verifica che sulla tabella utenti esiste quell'utente con quella password (poi ti chiede l'otp) ma stai semplicemente autorizzando la vista di alcuni record, non hai accesso al database.
Io ho suggerito la protezione del db con una password in modo da non avere accesso al database.
Poi una login del programma per dare accesso alle persone autorizzate.
La domanda che ha fatto è
Come faccio a distinguere i dati di chi è loggato. Sa come usare una where ma non sa (o gli è sfuggito) come passare il parametro utente nella where.
Ho chiesto il tipo di autorizzazione solo per distinguere se i permessi sono per form (contabili, cartelle mediche, inserimento e lettura cartelle cliniche, agenda appuntamenti ecc…).
Li la faccenda si complica un po' in base alla form da fare o non fare visualizzare o ai semplici importi, ma nel caso in questione, l'utente ha accesso totale a ciò che inserisce lui (tipo un crm di agenti di commercio dove ognuno vede solo la propria zona, il proprio fatturato, i propri ordini ed il supervisore vede tutto di tutti gli agenti).
La traccia gli è stata data, il resto sono solo suggerimenti e considerazioni personali.