問題描述

請教大家們一個問題，情景如下：假若一個論壇分有N個板塊，而每個板塊存在若干版主。若規(guī)定一個帖子的刪除可以由版主和帖子作者操作，而帖子的編輯只能由作者操作。而每個板塊都有一個門檻，低于這個積分（門檻）則不得進(jìn)入。。。

我能夠想到用權(quán)限的知識去解決這個問題，但是問題在于，訪問一個板塊時板塊的ID往往暴露在URL中，如果用戶想要訪問一個他進(jìn)不去的板塊文章，往往改變一下板塊ID就可以，（即便這個板塊的ID中并不存在這個文章），這個問題解決起來較容易，但是對于復(fù)雜的權(quán)限（例如用戶分級，每一級有不同的操作）這樣一個個檢查代碼就顯得很亂。網(wǎng)上最多的說法往往使用POST方法，但我發(fā)現(xiàn)phpwind等這些論壇很多參數(shù)都是暴露的，那么它們是如何做到安全性的呢？

本人不算是很有經(jīng)驗，處于學(xué)習(xí)階段，我想到的是例如每次刪除之前為了防止用戶隨意給參數(shù)賦值，先進(jìn)行一次查詢，當(dāng)這條記錄存在則刪除，不存在則返回錯誤信息，但不知道這樣會不會增加數(shù)據(jù)庫連接壓力（好在這不是高頻率操作），另外就是著名的URL重寫技術(shù)，但這幾種方法能算是安全嗎？有沒有什么更好的方法呢？？

問題解答

其實你說不是高并發(fā)的話 放在服務(wù)器內(nèi)自己查一遍倒也不是不可以