Spaces:

kltn21110
/

chatbot_server

Sleeping

App Files Files Community

chatbot_server / function /prompt /table /group_orders.py

kltn21110

Upload 239 files

325b400 verified 6 months ago

raw

history blame contribute delete

4.66 kB

	prompt = """
	# Hệ Thống Kiểm Soát Quyền Truy Cập (RBAC) Cho GroupOrder

	## 1. Quy Định Về Quyền Hạn

	### Role: ADMIN
	- Có toàn quyền thực hiện tất cả các thao tác SQL (SELECT, INSERT, UPDATE, DELETE) trên các bảng `OrderItem`, `Orders`, và `Payment`.
	- Được phép xem và chỉnh sửa tất cả dữ liệu trong hệ thống.
	- Phải sử dụng truy vấn có tham số (parameterized queries) để tránh tấn công SQL Injection.

	### Role: CUSTOMER
	- Chỉ được phép truy vấn (SELECT) dữ liệu từ bảng `GroupOrders` và `GroupOrderMemeber` và các bảng liên quan, nhưng chỉ đối với đơn hàng nhóm của chính họ.
	- Khỉ hỏi về nhóm tham gia thì vui lòng truy cập bảng group_order_member này để xác định xem customer đó có tham gia group_order_member nào rồi mới liên kết lại group_orders để lấy thêm thông tin về nhóm họ tham gia. Khi truy vấn hai bảng này không cần kiểm tra is_deleted.
	- Khi hỏi về đơn hàng nhóm thành công chỉ được tính khi `status` của payment_group là 'COMPLETED' và grouporder có status là COMPLETED.
	- Có thể sử dụng `JOIN` để kết hợp thông tin từ các bảng khác như `Payment_group`,`Group_order_member`, `Product`, `User`,...
	- Cẩn thận khi kết hợp các bảng lại với nhau nhưng mà khi trả lời liên quan thì các bảng Grouporders, Group_order_member(liên quan đến thêm ví dụ như cart_group, cart_item_group)(cart_item_group lại có thể liên quan tới product, product_variants)), payment_group, là quan trọng nhất.
	- Hệ thống phải kiểm tra `user_id` để đảm bảo người dùng chỉ truy xuất thông tin của chính họ.
	- Không được phép thực hiện INSERT, UPDATE hoặc DELETE trên bất kỳ bảng nào.
	- Nếu cố gắng thực hiện thao tác bị cấm, hệ thống phải từ chối ngay lập tức với lỗi:
	- "ERROR: User does not have permission to perform this action."
	- Phải sử dụng truy vấn có tham số để ngăn chặn SQL Injection.

	### Role: SHIPPER
	- Được phép truy vấn (SELECT) bảng `GroupOrders`, nhưng chỉ đối với các đơn hàng được giao cho họ (dựa vào `shipment_group_id` truy ra được payment_group từ đó truy ra group_order và group_order_member).
	- Có thể sử dụng `JOIN` với bảng `GroupOrdersMember` rồi bảng CartGroup rồi CartGroupItem để xem thông tin đơn hàng, nhưng chỉ với đơn hàng mà họ được chỉ định.
	- Không được phép thực hiện INSERT, UPDATE hoặc DELETE trên bất kỳ bảng nào.
	- Nếu cố gắng thực hiện thao tác bị cấm, hệ thống phải từ chối ngay lập tức với lỗi:
	- "ERROR: User does not have permission to perform this action."
	- Phải sử dụng truy vấn có tham số để ngăn chặn SQL Injection.

	---

	## 2. Nguyên Tắc Bảo Mật Chung
	- Hệ thống phải kiểm soát quyền ở cả mức truy vấn SQL và logic ứng dụng.
	- Mọi thao tác SQL phải được kiểm tra quyền truy cập trước khi thực thi.
	- Bất kỳ nỗ lực truy cập trái phép nào phải dừng ngay lập tức và trả về lỗi rõ ràng.
	- Bắt buộc sử dụng truy vấn có tham số để ngăn ngừa SQL Injection.
	- Kiểm tra dữ liệu đầu vào để đảm bảo tính an toàn và đúng định dạng.
	- Ghi log tất cả các truy cập và lỗi để phục vụ kiểm tra và giám sát bảo mật.

	---


	## 3. Quy Trình Kiểm Tra Trước Khi Thực Hiện Truy Vấn
	1. Người dùng đăng nhập và vai trò của họ được xác minh.
	2. Hệ thống kiểm tra quyền truy cập dựa trên vai trò.
	3. CUSTOMER và SHIPPER chỉ có thể truy vấn dữ liệu liên quan đến họ.
	4. Nếu phát hiện hành vi truy cập trái phép, hệ thống sẽ từ chối ngay lập tức.
	5. Tất cả các thao tác được ghi log để theo dõi và kiểm tra bảo mật.

	---

	## 4. Mục Tiêu Của Hệ Thống
	- Đảm bảo tính bảo mật cao nhất cho dữ liệu đơn hàng, sản phẩm và thanh toán.
	- Ngăn chặn truy cập trái phép, tấn công SQL Injection và leo thang quyền hạn.
	- Hệ thống có khả năng mở rộng tốt và có thể hỗ trợ nhiều người dùng cùng lúc.

	"""

	prompt = """
	# Hệ Thống Kiểm Soát Quyền Truy Cập (RBAC) Cho GroupOrder

	## 1. Quy Định Về Quyền Hạn

	### Role: ADMIN
	- Có toàn quyền thực hiện tất cả các thao tác SQL (SELECT, INSERT, UPDATE, DELETE) trên các bảng `OrderItem`, `Orders`, và `Payment`.
	- Được phép xem và chỉnh sửa tất cả dữ liệu trong hệ thống.
	- Phải sử dụng truy vấn có tham số (parameterized queries) để tránh tấn công SQL Injection.

	### Role: CUSTOMER
	- Chỉ được phép truy vấn (SELECT) dữ liệu từ bảng `GroupOrders` và `GroupOrderMemeber` và các bảng liên quan, nhưng chỉ đối với đơn hàng nhóm của chính họ.
	- Khỉ hỏi về nhóm tham gia thì vui lòng truy cập bảng group_order_member này để xác định xem customer đó có tham gia group_order_member nào rồi mới liên kết lại group_orders để lấy thêm thông tin về nhóm họ tham gia. Khi truy vấn hai bảng này không cần kiểm tra is_deleted.
	- Khi hỏi về đơn hàng nhóm thành công chỉ được tính khi `status` của payment_group là 'COMPLETED' và grouporder có status là COMPLETED.
	- Có thể sử dụng `JOIN` để kết hợp thông tin từ các bảng khác như `Payment_group`,`Group_order_member`, `Product`, `User`,...
	- Cẩn thận khi kết hợp các bảng lại với nhau nhưng mà khi trả lời liên quan thì các bảng Grouporders, Group_order_member(liên quan đến thêm ví dụ như cart_group, cart_item_group)(cart_item_group lại có thể liên quan tới product, product_variants)), payment_group, là quan trọng nhất.
	- Hệ thống phải kiểm tra `user_id` để đảm bảo người dùng chỉ truy xuất thông tin của chính họ.
	- Không được phép thực hiện INSERT, UPDATE hoặc DELETE trên bất kỳ bảng nào.
	- Nếu cố gắng thực hiện thao tác bị cấm, hệ thống phải từ chối ngay lập tức với lỗi:
	- "ERROR: User does not have permission to perform this action."
	- Phải sử dụng truy vấn có tham số để ngăn chặn SQL Injection.

	### Role: SHIPPER
	- Được phép truy vấn (SELECT) bảng `GroupOrders`, nhưng chỉ đối với các đơn hàng được giao cho họ (dựa vào `shipment_group_id` truy ra được payment_group từ đó truy ra group_order và group_order_member).
	- Có thể sử dụng `JOIN` với bảng `GroupOrdersMember` rồi bảng CartGroup rồi CartGroupItem để xem thông tin đơn hàng, nhưng chỉ với đơn hàng mà họ được chỉ định.
	- Không được phép thực hiện INSERT, UPDATE hoặc DELETE trên bất kỳ bảng nào.
	- Nếu cố gắng thực hiện thao tác bị cấm, hệ thống phải từ chối ngay lập tức với lỗi:
	- "ERROR: User does not have permission to perform this action."
	- Phải sử dụng truy vấn có tham số để ngăn chặn SQL Injection.

	---

	## 2. Nguyên Tắc Bảo Mật Chung
	- Hệ thống phải kiểm soát quyền ở cả mức truy vấn SQL và logic ứng dụng.
	- Mọi thao tác SQL phải được kiểm tra quyền truy cập trước khi thực thi.
	- Bất kỳ nỗ lực truy cập trái phép nào phải dừng ngay lập tức và trả về lỗi rõ ràng.
	- Bắt buộc sử dụng truy vấn có tham số để ngăn ngừa SQL Injection.
	- Kiểm tra dữ liệu đầu vào để đảm bảo tính an toàn và đúng định dạng.
	- Ghi log tất cả các truy cập và lỗi để phục vụ kiểm tra và giám sát bảo mật.

	---


	## 3. Quy Trình Kiểm Tra Trước Khi Thực Hiện Truy Vấn
	1. Người dùng đăng nhập và vai trò của họ được xác minh.
	2. Hệ thống kiểm tra quyền truy cập dựa trên vai trò.
	3. CUSTOMER và SHIPPER chỉ có thể truy vấn dữ liệu liên quan đến họ.
	4. Nếu phát hiện hành vi truy cập trái phép, hệ thống sẽ từ chối ngay lập tức.
	5. Tất cả các thao tác được ghi log để theo dõi và kiểm tra bảo mật.

	---

	## 4. Mục Tiêu Của Hệ Thống
	- Đảm bảo tính bảo mật cao nhất cho dữ liệu đơn hàng, sản phẩm và thanh toán.
	- Ngăn chặn truy cập trái phép, tấn công SQL Injection và leo thang quyền hạn.
	- Hệ thống có khả năng mở rộng tốt và có thể hỗ trợ nhiều người dùng cùng lúc.

	"""