Bug(バグ) #3273
完了
activity/search.json?member_id=? で特定メンバーのアクティビティを取得すると500エラーとなる
100%
説明
現象¶
MySQL を使用している SNS で、API を使用して http://sns.example.com/api.php/activity/search.json?member_id=1 のように特定メンバーのアクティビティを取得しようとすると Internal Server Error が返ってしまう場合がある。
原因¶
opActivityQueryBuilder::buildMemberQuery() 内で andWhereIn メソッドを使用している。ここで生成されるクエリはサブクエリとして使用されるため #3135 で報告されているように不正なクエリが生成されてしまう。
protected function buildMemberQuery($query, $memberId = null, $publicFlag = ActivityDataTable::PUBLIC_FLAG_SNS)
{
if (is_array($memberId))
{
$query->andWhereIn('a.member_id', $memberId);
}
elseif ($memberId instanceof Doctrine_Query)
{
$query->andWhere('a.member_id IN ('.$memberId->getDql().')');
}
elseif (is_scalar($memberId))
{
$query->andWhere('a.member_id = ?', $memberId);
}
$query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));
return $query;
}
修正内容¶
opActivityQueryBuilder::buildMemberQuery() メソッドに #3135 の問題を回避する修正を施す
Youichi Kimura さんがほぼ12年前に更新
- ステータス を New(新規) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
更新履歴 af729c356aa54780e6a2a2e4870efd1db21a42f3 で適用されました。
Chiharu Nakajima さんが11年以上前に更新
- 3.6 で発生するか を Unknown (未調査) から No (いいえ) に変更
- 3.8 で発生するか を Unknown (未調査) から Yes (はい) に変更
Yuya Watanabe さんが11年以上前に更新
https://redmine.openpne.jp/issues/3135#note-1 こちらに原因を書きましたが, #3135 の修正を適用した場合本チケットの修正が不要になり, Invalid とする可能性があります.
Yuya Watanabe さんが11年以上前に更新
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
#3135 の修正が難しそうなのでこちらのチケットに対応している修正をレビューしました.
確かにオープンソースの OpenPNE の実装では大小関係による比較によって公開範囲の区別はできます.
ただ,この公開範囲については公開範囲の追加のようなカスタマイズを行う場合が考えられます.
このようなカスタマイズを行う場合,簡単に考えられるデータ定義として公開範囲の定数を増やすことになりますが,増やす場合に定数の数字を大きくしたものを用いるでしょう.
単純に大小関係による比較という実装を行い,この修正をカスタマイズした OpenPNE に適用した場合に「非公開」設定のものがクエリの抽出対象に含まれ,意図していない公開が発生しうるため危険な修正であると思いました.
動作しないということが公開範囲よりも問題である場合や公開範囲についてカスタマイズをしていないという SNS には今の修正は有効だと思いますが,上記理由により差し戻しとしておきます.
kaoru n さんが5年以上前に更新
- 関連している Bug(バグ) #4260: opTimelinePlugin 携帯版プロフィール画面のSNSメンバーのタイムラインガジェット Web公開していない投稿がWeb公開されてしまう を追加
kaoru n さんが5年以上前に更新
- ステータス を Rejected(差し戻し) から Accepted(着手) に変更
- 担当者 を Youichi Kimura から kaoru n に変更
- 進捗率 を 50 から 0 に変更
表題の件について、
$query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));
「$this->table->getViewablePublicFlags($publicFlag)」のカウントが「1」である場合は、
addWhereIn ではなく、addWhere を使用するように修正します。
問題の回避のための修正です。
kaoru n さんが5年以上前に更新
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
https://github.com/openpne/OpenPNE3/pull/520
にてプルリクエストを行いました
Rimpei Ogawa さんが5年以上前に更新
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
Rimpei Ogawa さんが5年以上前に更新
- ステータス を Pending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
- 進捗率 を 50 から 70 に変更
レビューOKです。