Макс: да, сразу не догадался, видимо этот вариант и приму, но теперь надо придумать как обезопасить пользователей от хулиганства, например Маша не дала Пете и он раз 20 неудачно залогинился под ее пользователем и заблокировал. Возможно блокировать пользователя на час а айпи пользователя из-за которого произошла блокировка на более длительное время.
Опа, а за табличку это идея, надо подумать, правда в таком случае желательно имя пользователя посложнее, типа GUID чтоб обезопасить от специальной блокировки. Надо сообразить как бы это с удобством пользователей скрестить....
Спасибо, сейчас посмотрю. А вот с блокировкой сложнее, для подключения к sql серверу будет использоваться одна учетка на всех (так хочет руководство, не обсуждается), а вот с помощью хранимых процедур надо уже разделять пользователей и их права. С этим проблем нет, а вот как с помощью этих же процедур обеспечить невозможность банального брутфорса если злоумышленник уже знает учетные данные для доступа к хранимкам... не представляю.
paulvales: Как по мне проще искать превышающую сумму и если она есть то уже определять применялись ли к ней нужные действия или нет (например запоминать id товара у которого в прошлый раз была цена выше желаемой). Но решать Вам.
