比如网站前段用Ajax向后台PHP发请求，所有查看网页源代码的用户都可以看到
PHP的文件名和参数

也就是说有心人士可以通过编程向这个PHP发送参数了来获得网站数据库的内容
了。

请问后端的PHP应该怎样设计才能保障只有注册用户才能获得资料呢？

用SESSION的话，应该只有客户端才有SESSION_ID吧？

如果每次都发送一个SESSION_ID给PHP，然后让PHP在做所有活跃SESSION的查询，会不会太浪费资源了？

谢谢
--
FROM 220.255.242.*