Цитата:
Сообщение от
Vadik
...
Достаточные, чтобы выполнять все пакеты, создаваемые пользователями с различными правами. Т.о. самый простой (простой - не значит плохой) вариант - права администратора
...
Ага. Только будте внимательны.
Это один из методов взлома RLS. Если строить отчет на клиенте и доступ на уровне записей ограничен, то в отчет попадет только доступный пользователю диапазон.
А вот если отчет построить на пакетном сервере, у которого права админские, то никакое ограничение доступа по записям не сработает.
В принципе, так можно ломать не только RLS, но и стандартные ограничения доступа. Например, ну не видим мы в отчете поле себестоимость, но оно там есть. А вот если отправить отчет на сервер пакетной обработки и попросить вернуть его по почте — можно будет полюбоваться.
Возможно, там есть и другие проблемы. Помню как-то занимался этим вопросом. Деталей не помню, но помню только, что сильно расстроился.