Привет,
подскажите, как сделать, чтобы один пользователь при просмотре профиля другого не смог его изменить? Проверить совпадает ли логин в сессии (логин текущего пользователя) с логином профиля, который он просматривает? Или в базе данных написать триггер, который перед командой UPDATE будет проверять редактируется ли сейчас строка с id таким же как у ползователя который ее редактирует, а ко всем остальным строкам запрещать доступ, и возвратит ошибку (вроде это делается так). Только как узнать id пользователя в триггере?
И еще:
Добавить таблицу, где будут указаны на каких страницах какие группы пользователей могут совершать действия (редактирование, создание, удаление, просмотр, выполнение или чтонибудь другое), и потом на каждой странице проверять права и в зависимости от этого показывать или скрывать что-то? Или поставить запреты или разрешение на команды Insert, Update, Delete, Select и какиенибудь другие в базе данных?
|