验证很简单,存一些uid之类的资讯,再存一个hashhash内容包括一个密钥,不存在session里验证时取出资讯,跟密钥再hash一次,看有没有符合这样就不牵涉数据库。就算每页都要对数据库检查权限那也可以用cache和其他手段来缓和。你用CI可能反而要小心一点 CI改用cookie来模拟session而且除非你用一些third-party的login plugin 他并没有内建的机制特别做每一页的hash validation有写好的library可以直接把CI的cookie-based session换回php native session 至少可以保证一定存在server上可以找一找 然后把system/libraries/Session.php换掉