問(wèn)題描述

請(qǐng)教大家們一個(gè)問(wèn)題，情景如下：假若一個(gè)論壇分有N個(gè)板塊，而每個(gè)板塊存在若干版主。若規(guī)定一個(gè)帖子的刪除可以由版主和帖子作者操作，而帖子的編輯只能由作者操作。而每個(gè)板塊都有一個(gè)門(mén)檻，低于這個(gè)積分（門(mén)檻）則不得進(jìn)入。。。

我能夠想到用權(quán)限的知識(shí)去解決這個(gè)問(wèn)題，但是問(wèn)題在于，訪問(wèn)一個(gè)板塊時(shí)板塊的ID往往暴露在URL中，如果用戶想要訪問(wèn)一個(gè)他進(jìn)不去的板塊文章，往往改變一下板塊ID就可以，（即便這個(gè)板塊的ID中并不存在這個(gè)文章），這個(gè)問(wèn)題解決起來(lái)較容易，但是對(duì)于復(fù)雜的權(quán)限（例如用戶分級(jí)，每一級(jí)有不同的操作）這樣一個(gè)個(gè)檢查代碼就顯得很亂。網(wǎng)上最多的說(shuō)法往往使用POST方法，但我發(fā)現(xiàn)phpwind等這些論壇很多參數(shù)都是暴露的，那么它們是如何做到安全性的呢？

本人不算是很有經(jīng)驗(yàn)，處于學(xué)習(xí)階段，我想到的是例如每次刪除之前為了防止用戶隨意給參數(shù)賦值，先進(jìn)行一次查詢，當(dāng)這條記錄存在則刪除，不存在則返回錯(cuò)誤信息，但不知道這樣會(huì)不會(huì)增加數(shù)據(jù)庫(kù)連接壓力（好在這不是高頻率操作），另外就是著名的URL重寫(xiě)技術(shù)，但這幾種方法能算是安全嗎？有沒(méi)有什么更好的方法呢？？

問(wèn)題解答

其實(shí)你說(shuō)不是高并發(fā)的話 放在服務(wù)器內(nèi)自己查一遍倒也不是不可以