Di seguito è stato semplificato il costruttore di query ridefinito per filtrare tutte le query del modello (incluse le relazioni). È possibile passarlo come parametro query_cls
a sessionmaker
. Non è necessario che il parametro ID utente sia globale per quanto riguarda la sessione quando è già disponibile.
class HackedQuery(Query):
def get(self, ident):
# Use default implementation when there is no condition
if not self._criterion:
return Query.get(self, ident)
# Copied from Query implementation with some changes.
if hasattr(ident, '__composite_values__'):
ident = ident.__composite_values__()
mapper = self._only_mapper_zero(
"get() can only be used against a single mapped class.")
key = mapper.identity_key_from_primary_key(ident)
if ident is None:
if key is not None:
ident = key[1]
else:
from sqlalchemy import util
ident = util.to_list(ident)
if ident is not None:
columns = list(mapper.primary_key)
if len(columns)!=len(ident):
raise TypeError("Number of values doen't match number "
'of columns in primary key')
params = {}
for column, value in zip(columns, ident):
params[column.key] = value
return self.filter_by(**params).first()
def QueryPublic(entities, session=None):
# It's not directly related to the problem, but is useful too.
query = HackedQuery(entities, session).with_polymorphic('*')
# Version for several entities needs thorough testing, so we
# don't use it yet.
assert len(entities)==1, entities
cls = _class_to_mapper(entities[0]).class_
public_condition = getattr(cls, 'public_condition', None)
if public_condition is not None:
query = query.filter(public_condition)
return query
Funziona solo per le query con modello singolo, e c'è molto lavoro per renderlo adatto ad altri casi. Mi piacerebbe vedere una versione elaborata poiché DEVE AVERE funzionalità per la maggior parte delle applicazioni web. Utilizza condizioni fisse memorizzate in ogni classe di modello, quindi è necessario modificarlo in base alle proprie esigenze.
fonte
2010-05-22 05:40:38
Hai mai pensato di utilizzare il sistema di sicurezza del database per raggiungere questo obiettivo? Ad esempio, Oracle offre questa funzionalità con la sua funzione VPD (http://www.oracle.com/technology/deploy/security/database-security/virtual-private-database/index.html). È possibile ottenere funzionalità simili anche in altri database (ad esempio http://ddj.com/database/215900773 e http://technet.microsoft.com/en-gb/library/cc966395.aspx). Basta google per "sicurezza RDBSName a livello di riga". – stephan
oppure imposta viste o regole su tutte le tabelle che aggiungono la limitazione appropriata e toglie agli utenti la possibilità di leggere direttamente la tabella sottostante. http://www.postgresql.org/docs/8.4/interactive/rules.html –