none
Parâmetros - Segurança RRS feed

  • Pergunta

  • Boa tarde,

    como garantir que o usuário não possa alterar o valor do parâmetro que fica exposto na URL?

    Ao logar na intranet(PHP) o usuário têm um código, este código é passado para o reporting via URL, mas desta forma, o usuário pode alterar o código e visualizar informações que não lhe pertencem.

    O que possa fazer para que isso não aconteça?

    sexta-feira, 18 de maio de 2012 18:35

Todas as Respostas

  • Mellolu,

    Sinceramente não vejo como isso possa ser feito por parte do Reporting Services. Mas que tipo de informação o usuário poderia alterar na url para obter informações desnecessárias?


    Pedro Antonio Galvão Junior [MVP | Microsoft Evangelist | Microsoft Partner | Engenheiro de Softwares | Especialista em Banco de Dados | SorBR.Net | Professor Universitário | MSIT.com]

    sexta-feira, 18 de maio de 2012 18:54
  • OI Júnior,

    por exemplo, a pessoa que loga na Intranet  pertence a diretoria A, esse 'A' é mandado para o report e faz o filtro das diretorias, se o cara muda para B, por exemplo, ele vai ver as infos da outra diretoria...

    Não sei se fui mais clara....

    sexta-feira, 18 de maio de 2012 19:30
  • Parametros de relatorio nao sao mecanismos de seguranca. Se o usuario consegue visualizar informacoes que ele nao tem permissao somente alterando um parametro algo esta errado.

    Voce consegue de certa maneira usar filtros no dataset ou na query que sejam baseados na expressao User!UserId, e com esse dado decidir se o usuario tem direito a ver esses dados ou nao. Entao ao invez de passar via URL a diretoria que o usuario pode visualizar, voce usa uma query que lista as diretorias que o usuario tem acesso, e usa o parametro com User!UserId para mostrar a listagem. Lembrando que se o usuario tiver permissao de alterar o relatorio, ele ainda pode retirar esse filtro do relatorio.


    Boreki[MSFT] - SQL Server Reporting Services

    • Sugerido como Resposta Rodrigo Ataíde segunda-feira, 21 de maio de 2012 20:48
    sexta-feira, 18 de maio de 2012 21:39