問題描述

請教大家們一個問題，情景如下：假若一個論壇分有N個板塊，而每個板塊存在若干版主。若規定一個帖子的刪除可以由版主和帖子作者操作，而帖子的編輯只能由作者操作。而每個板塊都有一個門檻，低于這個積分（門檻）則不得進入。。。

我能夠想到用權限的知識去解決這個問題，但是問題在于，訪問一個板塊時板塊的ID往往暴露在URL中，如果用戶想要訪問一個他進不去的板塊文章，往往改變一下板塊ID就可以，（即便這個板塊的ID中并不存在這個文章），這個問題解決起來較容易，但是對于復雜的權限（例如用戶分級，每一級有不同的操作）這樣一個個檢查代碼就顯得很亂。網上最多的說法往往使用POST方法，但我發現phpwind等這些論壇很多參數都是暴露的，那么它們是如何做到安全性的呢？

本人不算是很有經驗，處于學習階段，我想到的是例如每次刪除之前為了防止用戶隨意給參數賦值，先進行一次查詢，當這條記錄存在則刪除，不存在則返回錯誤信息，但不知道這樣會不會增加數據庫連接壓力（好在這不是高頻率操作），另外就是著名的URL重寫技術，但這幾種方法能算是安全嗎？有沒有什么更好的方法呢？？

問題解答

其實你說不是高并發的話 放在服務器內自己查一遍倒也不是不可以