驗證很簡單,存一些uid之類的資訊,再存一個hashhash內容包括一個密鑰,不存在session裡驗證時取出資訊,跟密鑰再hash一次,看有沒有符合這樣就不牽涉資料庫。就算每頁都要對資料庫檢查權限那也可以用cache和其他手段來緩和。你用CI可能反而要小心一點 CI改用cookie來模擬session而且除非你用一些third-party的login plugin 他並沒有內建的機制特別做每一頁的hash validation有寫好的library可以直接把CI的cookie-based session換回php native session 至少可以保證一定存在server上可以找一找 然後把system/libraries/Session.php換掉