Project

General

Profile

Bug(バグ) #3273

activity/search.json?member_id=? で特定メンバーのアクティビティを取得すると500エラーとなる

Added by Youichi Kimura over 6 years ago. Updated 10 days ago.

Status:
Pending Review(レビュー待ち)
Priority:
Normal(通常)
Target version:
Start date:
2012-12-06
Due date:
% Done:

50%

3.6 で発生するか:
No (いいえ)
3.8 で発生するか:
Yes (はい)

Description

現象

MySQL を使用している SNS で、API を使用して http://sns.example.com/api.php/activity/search.json?member_id=1 のように特定メンバーのアクティビティを取得しようとすると Internal Server Error が返ってしまう場合がある。

原因

opActivityQueryBuilder::buildMemberQuery() 内で andWhereIn メソッドを使用している。ここで生成されるクエリはサブクエリとして使用されるため #3135 で報告されているように不正なクエリが生成されてしまう。

  protected function buildMemberQuery($query, $memberId = null, $publicFlag = ActivityDataTable::PUBLIC_FLAG_SNS)
  {
    if (is_array($memberId))
    {   
      $query->andWhereIn('a.member_id', $memberId);
    }   
    elseif ($memberId instanceof Doctrine_Query)
    {   
      $query->andWhere('a.member_id IN ('.$memberId->getDql().')');
    }   
    elseif (is_scalar($memberId))
    {   
      $query->andWhere('a.member_id = ?', $memberId);
    }   

    $query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));

    return $query;
  }

修正内容

opActivityQueryBuilder::buildMemberQuery() メソッドに #3135 の問題を回避する修正を施す


Subtasks

Backport(バックポート) #3331: activity/search.json?member_id=? で特定メンバーのアクティビティを取得すると500エラーとなるPending Review(レビュー待ち)kaoru nishizoe


Related issues

Related to OpenPNE 3 - Bug(バグ) #3135: サブクエリのWHERE節に「field IN ?」の形式のDQLがあると Invalid parameter number エラーが発生する New(新規) 2012-07-27
Related to OpenPNE 3 - Bug(バグ) #3344: opActivityQueryBuilder で特定のメソッドで配列を引き数に渡した場合にエラーが発生する New(新規) 2013-05-07

Associated revisions

Revision af729c35 (diff)
Added by Youichi Kimura over 6 years ago

avoid invalid where...in parameter bug (fixes #3273)

History

#1 Updated by Youichi Kimura over 6 years ago

  • Description updated (diff)

#2 Updated by Youichi Kimura over 6 years ago

  • Description updated (diff)

#3 Updated by Youichi Kimura over 6 years ago

  • Status changed from New(新規) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

更新履歴 af729c356aa54780e6a2a2e4870efd1db21a42f3 で適用されました。

#4 Updated by Chiharu Nakajima about 6 years ago

  • 3.6 で発生するか changed from Unknown (未調査) to No (いいえ)
  • 3.8 で発生するか changed from Unknown (未調査) to Yes (はい)

#5 Updated by Yuya Watanabe almost 6 years ago

https://redmine.openpne.jp/issues/3135#note-1 こちらに原因を書きましたが, #3135 の修正を適用した場合本チケットの修正が不要になり, Invalid とする可能性があります.

#6 Updated by Yuya Watanabe almost 6 years ago

  • Status changed from Pending Review(レビュー待ち) to Rejected(差し戻し)

#3135 の修正が難しそうなのでこちらのチケットに対応している修正をレビューしました.

確かにオープンソースの OpenPNE の実装では大小関係による比較によって公開範囲の区別はできます.
ただ,この公開範囲については公開範囲の追加のようなカスタマイズを行う場合が考えられます.
このようなカスタマイズを行う場合,簡単に考えられるデータ定義として公開範囲の定数を増やすことになりますが,増やす場合に定数の数字を大きくしたものを用いるでしょう.
単純に大小関係による比較という実装を行い,この修正をカスタマイズした OpenPNE に適用した場合に「非公開」設定のものがクエリの抽出対象に含まれ,意図していない公開が発生しうるため危険な修正であると思いました.

動作しないということが公開範囲よりも問題である場合や公開範囲についてカスタマイズをしていないという SNS には今の修正は有効だと思いますが,上記理由により差し戻しとしておきます.

#7 Updated by Yuya Watanabe almost 6 years ago

このチケットを対応している間に気になった点について別チケット #3344 に記述しました.

#8 Updated by isao sano about 2 years ago

対象バージョン変更のため、修正内容の確認を行います。

#9 Updated by isao sano about 2 years ago

  • Target version changed from OpenPNE 3.9.0-old to OpenPNE 3.9.0

#10 Updated by kaoru nishizoe 10 days ago

#3273-3 は、old-master にのみ適用済み(2019/04/12 現在)

#12 Updated by kaoru nishizoe 10 days ago

  • Status changed from Rejected(差し戻し) to Accepted(着手)
  • Assignee changed from Youichi Kimura to kaoru nishizoe
  • % Done changed from 50 to 0

表題の件について、

    $query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));
の部分において、
「$this->table->getViewablePublicFlags($publicFlag)」のカウントが「1」である場合は、
addWhereIn ではなく、addWhere を使用するように修正します。
問題の回避のための修正です。

#13 Updated by kaoru nishizoe 10 days ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

https://github.com/openpne/OpenPNE3/pull/520
にてプルリクエストを行いました

Also available in: Atom PDF