1，数据是用户私人的，只能被用户自己查看，如果防止其他人通过url访问数据？2，访问都需要登陆操作，session中放入userId， 记录中放入userId，每次访问的时候根据url中记录id 得到数据，根据数据中的userId 和session中的userId 是否匹配判断是否是用户本人访问？？但是这样就会导致需要查询数据库之后才可以得知结果3，url中放入userId，根据url中的usrId和session中保存的userId 进行匹配判断是否是本人访问，这样会将userId暴漏在url中各位都是怎么做的