Hello,

Eigentlich wolltest du nur zeigen, dass es egal ist, ob eine Webanwendung oder eine Desktopanwendung mit dem DBMS kommuniziert. Die Kapselung in SPs versteckt die DBMS-Logik und teilweise auch Geschäftslogik und bietet allen Beteiligten eine einheitliche vereinfachte Schnittstelle. Durch die spezialisierten Beispiele bringst du nur mehr Komplexität in die Erklärung rein, die nicht notwendig ist.

Jein.

Ein wenig habe ich mir dabei schon gedacht. Man muss schließlich die Diskussion auch mal anstoßen. Und Du hast mir nun den Gefallen getan, diese auch zu beginnen. ;-)

Wenn man eine Datenbank betreibt, in der man relevante, wenn auch nicht geheime, Daten verwaltet und diese über verschiedene Wege zugänglich macht, dann sollten sich diese Wege in ihrer Sicherheit schon ähneln. Eine Freigabe einer solchen Datenbank über HTTP und PHP, so wie das im Hobbybereich üblich ist, halte ich dann für bedenklich. Wie wir in letzter Zeit ja leider immer öfter feststellen müssen, werden Accounts für Domains gerne gehackt und die Daten missbraucht. Wenn sie nicht auch verändert werden dabei, merkt man das eventuell gar nicht.

Wenn man also die Vorteile von Stored Programs und die dadurch zusätlich mögliche Kapselung konsequent nutzen will, dann muss man auch die Anmeldung des Users absichern und zwar so, dass sie nicht gefaked werden kann. Sonst kann man sich den erhöhten Aufwand eher sparen.

Dass es theoretisch trotzdem noch besser ist, Geschäftslogik und Zugriffsrechte/-historie mit zu kapseln, soll diese Überlegung nicht in Frage stellen. Aber praktisch würde man den Aufwand nur treiben, wenn es bis zum Ende durchgängig für Sicherheitszuwachs sorgt.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg