Bug(バグ) #3273
完了
activity/search.json?member_id=? で特定メンバーのアクティビティを取得すると500エラーとなる
Youichi Kimura さんがほぼ12年前に追加.
5年以上前に更新.
説明
MySQL を使用している SNS で、API を使用して http://sns.example.com/api.php/activity/search.json?member_id=1 のように特定メンバーのアクティビティを取得しようとすると Internal Server Error が返ってしまう場合がある。
opActivityQueryBuilder::buildMemberQuery() 内で andWhereIn メソッドを使用している。ここで生成されるクエリはサブクエリとして使用されるため #3135 で報告されているように不正なクエリが生成されてしまう。
protected function buildMemberQuery($query, $memberId = null, $publicFlag = ActivityDataTable::PUBLIC_FLAG_SNS)
{
if (is_array($memberId))
{
$query->andWhereIn('a.member_id', $memberId);
}
elseif ($memberId instanceof Doctrine_Query)
{
$query->andWhere('a.member_id IN ('.$memberId->getDql().')');
}
elseif (is_scalar($memberId))
{
$query->andWhere('a.member_id = ?', $memberId);
}
$query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));
return $query;
}
修正内容¶
opActivityQueryBuilder::buildMemberQuery() メソッドに #3135 の問題を回避する修正を施す
- ステータス を New(新規) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
- 3.6 で発生するか を Unknown (未調査) から No (いいえ) に変更
- 3.8 で発生するか を Unknown (未調査) から Yes (はい) に変更
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
#3135 の修正が難しそうなのでこちらのチケットに対応している修正をレビューしました.
確かにオープンソースの OpenPNE の実装では大小関係による比較によって公開範囲の区別はできます.
ただ,この公開範囲については公開範囲の追加のようなカスタマイズを行う場合が考えられます.
このようなカスタマイズを行う場合,簡単に考えられるデータ定義として公開範囲の定数を増やすことになりますが,増やす場合に定数の数字を大きくしたものを用いるでしょう.
単純に大小関係による比較という実装を行い,この修正をカスタマイズした OpenPNE に適用した場合に「非公開」設定のものがクエリの抽出対象に含まれ,意図していない公開が発生しうるため危険な修正であると思いました.
動作しないということが公開範囲よりも問題である場合や公開範囲についてカスタマイズをしていないという SNS には今の修正は有効だと思いますが,上記理由により差し戻しとしておきます.
このチケットを対応している間に気になった点について別チケット #3344 に記述しました.
対象バージョン変更のため、修正内容の確認を行います。
- 対象バージョン を OpenPNE 3.9.0-old から OpenPNE 3.9.0 に変更
#3273-3 は、old-master にのみ適用済み(2019/04/12 現在)
- 関連している Bug(バグ) #4260: opTimelinePlugin 携帯版プロフィール画面のSNSメンバーのタイムラインガジェット Web公開していない投稿がWeb公開されてしまう を追加
- ステータス を Rejected(差し戻し) から Accepted(着手) に変更
- 担当者 を Youichi Kimura から kaoru n に変更
- 進捗率 を 50 から 0 に変更
表題の件について、
$query->andWhereIn('a.public_flag', $this->table->getViewablePublicFlags($publicFlag));
の部分において、
「$this->table->getViewablePublicFlags($publicFlag)」のカウントが「1」である場合は、
addWhereIn ではなく、addWhere を使用するように修正します。
問題の回避のための修正です。
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
- ステータス を Rejected(差し戻し) から Pending Review(レビュー待ち) に変更
- ステータス を Pending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
- 進捗率 を 50 から 70 に変更
- 対象バージョン を OpenPNE 3.9.0 から OpenPNE-3.9.5 に変更
- ステータス を Pending Testing(テスト待ち) から Pending Merge(マージ待ち) に変更
- 進捗率 を 70 から 80 に変更
- ステータス を Pending Merge(マージ待ち) から Fixed(完了) に変更
- 進捗率 を 80 から 100 に変更
他の形式にエクスポート: Atom
PDF
