>_ VIBECODECONTROLE Controleren
← Alle artikelen Supabase Row Level Security: waarom je dit nooit mag overslaan

Supabase Row Level Security: waarom je dit nooit mag overslaan

Supabase is een geweldige tool. Snel op te zetten, goed te combineren met AI-tools, en je hebt binnen een uur een werkende database. Maar er is één instelling die bijna iedereen overslaat. Die instelling kan je app compleet openbreken.

Wat is Row Level Security?

Row Level Security (RLS) is een instelling in Supabase waarmee je bepaalt wie welke rijen in je database mag lezen of aanpassen. Zonder RLS geldt standaard: iedereen mag alles.

Dat klinkt abstract, dus hier een concreet voorbeeld.

Wat er misgaat zonder RLS

Stel, je bouwt een app waarbij gebruikers hun eigen opdrachten of bestellingen kunnen bijhouden. Elke rij in de database heeft een user_id om bij te houden van wie de data is.

Maar zonder RLS betekent een API-aanroep als GET /orders niet “geef mij mijn bestellingen”. Het betekent “geef alle bestellingen van alle gebruikers”. Iemand die net iets meer technisch onderlegd is, hoeft alleen de query aan te passen en ziet de data van je hele gebruikersbestand.

Persoonsgegevens, bestellingen, berichten. Gewoon leesbaar voor iedereen met een account.

Hoe staat het standaard ingesteld?

Uit. RLS is in Supabase standaard uitgeschakeld. Je moet het actief aanzetten per tabel.

AI-tools als Lovable of Cursor bouwen vaak prima werkende apps, maar vergeten deze stap. Of ze zetten het aan zonder de juiste policies te configureren, wat feitelijk hetzelfde probleem geeft.

Hoe zet je het aan?

  1. Ga naar je Supabase-dashboard
  2. Open de tabel die je wilt beveiligen
  3. Klik op “RLS” en zet het aan
  4. Voeg een policy toe, bijvoorbeeld: gebruikers mogen alleen rijen lezen waarbij user_id = auth.uid()

Dat laatste is cruciaal. RLS aanzetten zonder policy betekent dat niemand meer bij de data kan, ook niet de eigenaar.

Vraag je AI-tool expliciet: “Voeg de juiste RLS-policies toe voor deze tabellen.” En controleer daarna of ze ook echt kloppen.

Gebruik je Supabase in je app? Laat controleren of je RLS correct hebt ingesteld. Het is een van de meest voorkomende beveiligingslekken die we tegenkomen.

Wil je jouw project laten controleren?

Binnen 3 dagen een concreet rapport van een specialist.

Laat jouw project controleren →

Gratis

Meer leren over goed en veilig vibecoden?

Ontvang gratis tips rechtstreeks in je inbox.

Geen spam. Uitschrijven kan altijd.