Как разграничить права доступа?

Привет,
подскажите, как сделать, чтобы один пользователь при просмотре профиля другого не смог его изменить? Проверить совпадает ли логин в сессии (логин текущего пользователя) с логином профиля, который он просматривает? Или в базе данных написать триггер, который перед командой UPDATE будет проверять редактируется ли сейчас строка с id таким же как у ползователя который ее редактирует, а ко всем остальным строкам запрещать доступ, и возвратит ошибку (вроде это делается так). Только как узнать id пользователя в триггере?

И еще:
Добавить таблицу, где будут указаны на каких страницах какие группы пользователей могут совершать действия (редактирование, создание, удаление, просмотр, выполнение или чтонибудь другое), и потом на каждой странице проверять права и в зависимости от этого показывать или скрывать что-то? Или поставить запреты или разрешение на команды Insert, Update, Delete, Select и какиенибудь другие в базе данных?

Незачем в лишний раз давать нагрузку на сервер БД


самое правильное решение, если необходимо делать изменения "на лету"
А если такой необходимости нет, надо сделать отдельную страницу с настройками, тогда никаких вопросов вообще не будет)

-----
Fuck you guys, I'll going home

А настройки все равно придется в БД хранить? таблица с тем куда кто что может открыть, просмотреть или добавить

prog90
само собой

-----
Fuck you guys, I'll going home

можно еще сделать проще при авторизации создать $_SESSION['id'] = $row['id']
при просмотре профиля сравнивать id профиля с сессией $_SESSION['id']; тем самым не какого лишнего запроса к бд сессию id мы сохранили при авторизации а id профиля мы взяли при вывода информации о пользователе для индификации использовали id хотя аналогично можно и с логином)

(Отредактировано автором: 20 Августа, 2011 - 13:42:38)