Project

General

Profile

Bug(バグ) #3273

activity/search.json?member_id=? で特定メンバーのアクティビティを取得すると500エラーとなる

Added by Youichi Kimura almost 12 years ago. Updated over 5 years ago.

Status:
Fixed(完了)
Priority:
Normal(通常)
Assignee:
Target version:
Start date:
2012-12-06
Due date:
% Done:

100%

3.6 で発生するか:
No (いいえ)
3.8 で発生するか:
Yes (はい)

Description

現象

MySQL を使用している SNS で、API を使用して http://sns.example.com/api.php/activity/search.json?member_id=1 のように特定メンバーのアクティビティを取得しようとすると Internal Server Error が返ってしまう場合がある。

原因

opActivityQueryBuilder::buildMemberQuery() 内で andWhereIn メソッドを使用している。ここで生成されるクエリはサブクエリとして使用されるため #3135 で報告されているように不正なクエリが生成されてしまう。

  protected function buildMemberQuery($query, $memberId = null, $publicFlag = ActivityDataTable::PUBLIC_FLAG_SNS)
  {
    if (is_array($memberId))
    {   
      $query->andWhereIn('a.member_id', $memberId);
    }   
    elseif ($memberId instanceof Doctrine_Query)
    {   
      $query->andWhere('a.member_id IN ('.$memberId->getDql().')');
    }   
    elseif (is_scalar($memberId))
    {   
      $query->andWhere('a.member_id = ?', $memberId);
    }   

    $query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));

    return $query;
  }

修正内容

opActivityQueryBuilder::buildMemberQuery() メソッドに #3135 の問題を回避する修正を施す


Subtasks

Backport(バックポート) #3331: activity/search.json?member_id=? で特定メンバーのアクティビティを取得すると500エラーとなるFixed(完了)kaoru n


Related issues

Related to OpenPNE 3 - Bug(バグ) #3135: サブクエリのWHERE節に「field IN ?」の形式のDQLがあると Invalid parameter number エラーが発生する New(新規) 2012-07-27
Related to OpenPNE 3 - Bug(バグ) #3344: opActivityQueryBuilder で特定のメソッドで配列を引き数に渡した場合にエラーが発生する New(新規) 2013-05-07
Related to OpenPNE 3 - Bug(バグ) #4260: opTimelinePlugin 携帯版プロフィール画面のSNSメンバーのタイムラインガジェット Web公開していない投稿がWeb公開されてしまう Fixed(完了) 2017-11-15

Associated revisions

Revision af729c35 (diff)
Added by Youichi Kimura almost 12 years ago

avoid invalid where...in parameter bug (fixes #3273)

Revision 54e27511 (diff)
Added by kaoru n over 5 years ago

(refs #3273) public_flag の数によって addWhere または addWhereIn の使用を分岐するよう修正

Revision 9d778779 (diff)
Added by kaoru n over 5 years ago

(refs #3273) 定義した変数を使用するよう修正

Revision f2937158
Added by kaoru n over 5 years ago

Merge pull request #520 from nishizoe/t-3273

(refs #3273) public_flag の数によって addWhere または addWhereIn の使用を分岐するよう修正

History

#1 Updated by Youichi Kimura almost 12 years ago

  • Description updated (diff)

#2 Updated by Youichi Kimura almost 12 years ago

  • Description updated (diff)

#3 Updated by Youichi Kimura almost 12 years ago

  • Status changed from New(新規) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

更新履歴 af729c356aa54780e6a2a2e4870efd1db21a42f3 で適用されました。

#4 Updated by Chiharu Nakajima over 11 years ago

  • 3.6 で発生するか changed from Unknown (未調査) to No (いいえ)
  • 3.8 で発生するか changed from Unknown (未調査) to Yes (はい)

#5 Updated by Yuya Watanabe over 11 years ago

https://redmine.openpne.jp/issues/3135#note-1 こちらに原因を書きましたが, #3135 の修正を適用した場合本チケットの修正が不要になり, Invalid とする可能性があります.

#6 Updated by Yuya Watanabe over 11 years ago

  • Status changed from Pending Review(レビュー待ち) to Rejected(差し戻し)

#3135 の修正が難しそうなのでこちらのチケットに対応している修正をレビューしました.

確かにオープンソースの OpenPNE の実装では大小関係による比較によって公開範囲の区別はできます.
ただ,この公開範囲については公開範囲の追加のようなカスタマイズを行う場合が考えられます.
このようなカスタマイズを行う場合,簡単に考えられるデータ定義として公開範囲の定数を増やすことになりますが,増やす場合に定数の数字を大きくしたものを用いるでしょう.
単純に大小関係による比較という実装を行い,この修正をカスタマイズした OpenPNE に適用した場合に「非公開」設定のものがクエリの抽出対象に含まれ,意図していない公開が発生しうるため危険な修正であると思いました.

動作しないということが公開範囲よりも問題である場合や公開範囲についてカスタマイズをしていないという SNS には今の修正は有効だと思いますが,上記理由により差し戻しとしておきます.

#7 Updated by Yuya Watanabe over 11 years ago

このチケットを対応している間に気になった点について別チケット #3344 に記述しました.

#8 Updated by isao sano over 7 years ago

対象バージョン変更のため、修正内容の確認を行います。

#9 Updated by isao sano over 7 years ago

  • Target version changed from OpenPNE 3.9.0-old to OpenPNE 3.9.0

#10 Updated by kaoru n over 5 years ago

#3273-3 は、old-master にのみ適用済み(2019/04/12 現在)

#11 Updated by kaoru n over 5 years ago

  • Related to Bug(バグ) #4260: opTimelinePlugin 携帯版プロフィール画面のSNSメンバーのタイムラインガジェット Web公開していない投稿がWeb公開されてしまう added

#12 Updated by kaoru n over 5 years ago

  • Status changed from Rejected(差し戻し) to Accepted(着手)
  • Assignee changed from Youichi Kimura to kaoru n
  • % Done changed from 50 to 0

表題の件について、

    $query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));
の部分において、
「$this->table->getViewablePublicFlags($publicFlag)」のカウントが「1」である場合は、
addWhereIn ではなく、addWhere を使用するように修正します。
問題の回避のための修正です。

#13 Updated by kaoru n over 5 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

https://github.com/openpne/OpenPNE3/pull/520
にてプルリクエストを行いました

#14 Updated by Rimpei Ogawa over 5 years ago

  • Status changed from Pending Review(レビュー待ち) to Rejected(差し戻し)

#15 Updated by kaoru n over 5 years ago

  • Status changed from Rejected(差し戻し) to Pending Review(レビュー待ち)

#16 Updated by Rimpei Ogawa over 5 years ago

  • Status changed from Pending Review(レビュー待ち) to Pending Testing(テスト待ち)
  • % Done changed from 50 to 70

レビューOKです。

#17 Updated by kaoru n over 5 years ago

  • Target version changed from OpenPNE 3.9.0 to OpenPNE-3.9.5

#18 Updated by isao sano over 5 years ago

  • Status changed from Pending Testing(テスト待ち) to Pending Merge(マージ待ち)
  • % Done changed from 70 to 80

試験完了しました。
問題ありません。

#19 Updated by kaoru n over 5 years ago

  • Status changed from Pending Merge(マージ待ち) to Fixed(完了)
  • % Done changed from 80 to 100

マージしました

Also available in: Atom PDF