Hallo Dennis,

Die einzige sichere Lösung wäre, den Link serverseitig gar nicht erst auszugeben.
und selbst dann sollte auf jeder Seite noch geprüft werden, ob der User auch wirklich Zugriff hat.
Beispielsweise, indem man den Benutzernamen sowie seinen Rechtestatus in die Session schreibt und dies dann abfragt ;-) *scnr*

was heißt hier »*scnr*«? Das war durchaus ernst gemeint. Ich mach das wirklich so, dass ich in die Session die Rechte des User reinschreibe (die werden beim Einlogen aus der Datenbank gelesen) und immer abfrage ob das erforderliche Recht (bzw. dessen id) im Array in $_SESSION enthalten ist ...

Grüße aus Nürnberg
Tobias