Sitealert

В предельном случае я вижу это как наличие неопределённого массива юзеров и неопределённого массива объектов доступа. И есть альтернатива:

1) добавлять массив доступных объектов каждому юзеру

2) добавлять массив допущенных юзеров каждому объекту.

В общем случае это абсолютно симметричные решения. Сделать выбор можно лишь из конкретики, то есть нужно смотреть, что оптимально. Например, есть 10 юзеров и 1000 объектов - тогда вариант 2. Или 1000 юзеров и 10 объектов - тогда вариант 1. Или же смотреть, исходя из каких-то ещё данных - наличие категорий юзеров, наличие категорий объектов, и т.п.

Да ладно! Это ничего не меняет, по сути. Список объектов - это и есть список ролей, фактически. Бахаем в БД для каждого юзера сериализованный объект или массив, например, – а при выяснении прав на совершение действий проверяем наличие необходимого элемента.

Креститься надо, когда кажется. Мне просто не нравится, когда кто-то влезает в тему с дурацкими наездами и офтопом, ничего в этом не соображая.

Конкретная. Та, которая в стартпосте. Для этого вида взлома нужно 100500 запросов, а не один. Не знаешь - не мели ерунду.Изворачиваешься и противоречишь сам себе. Вот прежний вариант твоего наезда на ТС

Насколько я помню, некоторое время назад гугль совсем сбрендил: теперь ему срок длительностью чуть ли не год нравится видеть.

По делу там всё ясно – требуется отсечь атаку, идентифицируемую как многократные однотипные запросы. Варианты все известны и обсуждались на форуме неоднократно. Можно хоть прикреплённую тему создавать.

Но к тому, что ты тут понаписал, вообще никаким боком не лежит.

Ну всем же понятно, что роли – это более широкий диапазон. Хотя, конечно, разница только в количестве градаций. И с этой точки зрения - вроде как стандартная ситуация, реализованная 100500 раз.

Опять о своём, наболевшем. Открывай свою тему и флуди там. Зачем в чужую лезть?

Это у тебя ума не хватает понять проблему.

К чему вообще твоё появление в этом топике? Показать свою продвинутость? Не получилось. Помочь ТСу? Так здесь ты вообще разговор в сторону уводишь? Зачем вся эта болтовня?!

Капчи какие-то, поля, проверки до обработчика... Мрак какой-то...

Глупости я увидел в том, что к теме это не имеет никакого отношения. Тема – про взлом через обработчик формы, и клали взломщики большой и толстый предмет на все проверки на стороне клиента. Данные отсылаются сразу на обработчик, где их и видит ТС. И все слова, которые понаписаны Надеждой, - это всего лишь его личные фантазии.

Тебе показалось. Он и в этот раз просто зашёл какашками покидаться.

Значит, надо сделать. И получится – в варианте 2 проверка варианта 1.