Chciałbym się was, fachowców doradzić jak rozwiązać, sprawdzanie uprawnień użytkowników, co do dostępu do pewnych częściu serwisu. 
Mam zbudowaną tabelą  "Grupy użytkowników" gdzie użytkownicy przypisani są do odpowiednich grup.

Do tego mam tabela "zainstalowanych modułow"
A między nimi jest tabela w której względem modułu i wybranej grupy są przypisane prawa dostępu (dodawania, edycji usuwania itp.). 

W kodzie odpowiedniego modułu w odpowiednich częściach wstawiona jest funkcję sprawdzającą czy obecny użytkownik ma do tej funkcjonalności dostępność. 

I tutaj nie chciałbym za każdym razem odwoływać się do BD by sprawdzić czy ten uzytkownik ma do danego prawa dostęp wewnątrz danego modułu z racji generowania dużej ilości zapytań do BD. Rozwiązanie cookisów, też nie ma sensu bo, będzie to "opublikowanie" uprawnień, wtedy jak ktoś pokombinuje sobie to uzyska dostęp do danego serwisu. Zapisywanie w sesjach to jest jakieś rozwiązanie (ale czy bezpieczne ?), jeszcze przychodzi mi do głowy, rozwiazanie w stylu, że kiedy użytkownik loguje się do systemu, generować plik XML z jego uprawnieniami (raz na dobę). I potem tylko z niego wyciagać te dane - ale co do tego też nie jestem w 100% przekonany. 

Dlatego prosiłbym o info jak wy coś takiego rozwiazujecie? Tak by aplikacja optymalnie działała a zarazem, aby zapewnić podstawowe względy bezpieczeństwa serwisu. 

Skoro nie cookie to może wykorzystać sesje?

Przy logowaniu zadeklarować zmienną sesji:

[PHP] pobierz, plaintext 
$_SESSION['user_level'] = $row['user_level'];
[PHP] pobierz, plaintext 

A później sprawdzanie:

[PHP] pobierz, plaintext 
if( $_SESSION['user_level'] == 2 )
{
     echo 'pewna część serwisu, dostępna dla uprawnień, równych 2';
}
[PHP] pobierz, plaintext 

Myślę, że proste i bezpieczne rozwiązanie.

no właśnie sesje też mi się wydają najkorzystniejszym rozwiazaniem, ale nie byłem pewny czy jest najbezpieczniejszym. Ale napewno bezpieczniejsza od Cookisów.