(3)ThinkPHP

所以在代码中可以进行如下的修改

在显示模块中也应该做如下的修改（此时应该先对顶级的权限进行遍历）

在修改口令中遍历次顶级的权限

所以只有当和$v的ID一致的才进行显示。 就是属于goodsmanage的才进行显示 其他的不进行显示

当前父级的ID与外边的ID一致，才进行显示。

超级管理员不用进行权限控制

a) 在Index/left方法里面判断当前用户如果是admin就不要进行具体权限的选择，显示

全部的权限。

39.4权限的漏洞分析

但是如果想拥有超级管理员那样的权限也可以

只需要输入对应的URL地址就可以对后台的数据进行修改 解决方案：

每次用户访问的控制器和方法都需要和对应的角色里边的ac信息进行比较 Ac信息里边存在这个控制器和方法就允许访问。否则禁止访问 A:action(方法) C:Controller(控制器)

技术角度：

在每个控制器被实例化执行的同时就判断当前的控制器和方法是否允许角色访问。