网站后台权限管理是关键。很多人想要把权限搞得太简单或者太复杂，导致平安隐患或者管理麻烦。 摸鱼。 今天我来分享一些看起来很酷但其实很简单的方法，让你能在短时间内把后台权限调得妥妥贴贴。

1、 先别急着改，先搞清楚自己的需求

很多管理员一看到“权限”这个词就紧张，后来啊直接把所有人都设成管理员。其实第一步应该问自己：谁需要做什么？ 踩个点。 比如内容编辑只需要发布和编辑，而审核只能审核和删除。先把这些角色列出来再去做细节。

1.1 列出角色表

写个表格或者直接在 Excel 里列： - 超级管理员：全能 - 内容编辑：发稿、 换句话说... 修改 - 审核员：审核、删除 - 访客：无权操作

1.2 给每个角色分配具体功能

有时候你会看到代码里用一个大数组来存所有功能，然后再循环判断。那样不如直接用 if { allow; } 那样清晰一点，抄近道。。

2、 使用 CMS 自带的权限模块

现在大多数 CMS都自带了权限系统，你只需要勾选相应的复选框即可。不过很多人却不仔细检查默认值。默认往往给了 “Editor” 太多权利，让他可以删掉所有文章，开倒车。。

2.1 WordPress 的例子

注意：WordPress 默认的 Editor 可以添加新页面甚至可以上传插件！这点不推荐。在 Dashboard → Settings → General → Default Role 那里改成 “Subscriber”， 正宗。 再手动给真正需要编辑的人加上 “Editor”。这样就能避免误删。

2.2 Drupal 的例子

Drupal 的用户角色系统更细腻，可以自定义每个节点类型的访问控制。

3、 不要把所有东西都写进数据库字段里——要用表结构设计好 ACL 表

Acl 表就是 Access Control List 的缩写，用来存储“用户 - 功能”对应关系。很多开发者想省事， 把所有字符串都拼在一起，然后用 SQL LIKE 去匹配，这种做法效率低下也容易出现平安漏洞。

你猜怎么着？ IDUserIDUserNamePermissionCode 1101Alice'edit_post' 2Name='Bob'

错误示例:

`SELECT * FROM users WHERE username = 'admin' AND password = '123456';` 这句代码极易被 SQL 注入攻击利用，千万别用！ 再说一个， 如果你用的是 MySQL，还可能导致缓存问题，所以一定要加上 `WHERE BINARY` 或者使用预编译语句。哎呀，我还记得之前有人说过这种写法可以让查询变快，但那是真的错漏吗？我不确定……但最好还是不要这么写。

小技巧：

是不是？ * 用 JSON 存放可读性高， 可 性强；但也容易被直接读到；最好加密存储或使用 HMAC 校验；哈哈哈，不管怎样，这只是建议啊~ * 每次修改后记得测试一下是否真的生效；否则会出现“我真的改了但是看起来没变”的尴尬局面；如果测试失败，可以尝试重启服务或清理缓存；嗯？你没听说过吗？我就说啦～ * 对于大批量用户批量赋权， 一定要分批处理，不然一次性提交会卡死服务器；有时我会随机挑几个用户测试，然后再整体上线——这样既省事又靠谱。 * 如果你是新手， 可以考虑使用第三方插件，比方说 WordPress 的 , 它提供图形化界面让你一眼看懂谁能干什么。 * 切记：任何时候不要让密码明文存储在数据库中， 如果一定要存，就用 SHA256 + salt 的方式，并且对 salt 做足够长的随机数生成，以免被彩虹表娱乐。 * 在实际部署前，请务必备份原始配置文件，以防万一操作失误导致整个后台瘫痪！备份是最好的保险， 也是最常见的忘记步骤之一……哎呀，我又忘了提醒大家备份数据库啊~ 噢，对了一定要备份数据库，也别忘了备份配置文件哦～ 反正你们一定会遇到这种情况的，你们真是太厉害啦~ 就这样吧，祝好运！

小结

不夸张地说... 免责声明本文仅供学习交流之用，请勿用于非法侵入或破坏他人系统。如有违法行为后果自负。

祝各位开发顺利~