sqlite-web 0.7.2
gitea.db
issue
Create
Query
access
access_token
action
action_artifact
action_run
action_run_index
action_run_job
action_runner
action_runner_token
action_schedule
action_schedule_spec
action_task
action_task_output
action_task_step
action_tasks_version
action_variable
app_state
attachment
auth_token
badge
branch
collaboration
comment
commit_status
commit_status_index
commit_status_summary
commit_sync_log
commit_sync_status
dbfs_data
dbfs_meta
deploy_key
email_address
email_hash
external_login_user
follow
gpg_key
gpg_key_import
hook_task
issue
issue_assignees
issue_content_history
issue_dependency
issue_index
issue_label
issue_pin
issue_user
issue_watch
label
language_stat
lfs_lock
lfs_meta_object
login_source
milestone
mirror
notice
notification
oauth2_application
oauth2_authorization_code
oauth2_grant
org_user
package
package_blob
package_blob_upload
package_cleanup_rule
package_file
package_property
package_version
project
project_board
project_issue
protected_branch
protected_tag
public_key
pull_auto_merge
pull_request
push_mirror
reaction
release
renamed_branch
repo_archiver
repo_hidden_file
repo_indexer_status
repo_license
repo_redirect
repo_topic
repo_transfer
repo_unit
repository
review
review_state
secret
session
sqlite_sequence
star
stopwatch
system_setting
task
team
team_invite
team_repo
team_unit
team_user
topic
tracked_time
two_factor
upload
user
user_badge
user_blocking
user_open_id
user_redirect
user_setting
version
watch
webauthn_credential
webhook
Toggle helper tables
Structure
Content
Query
Insert
Drop
Import
Export
Update row 457 in issue
id
Primary key.
INTEGER NOT NULL
repo_id
INTEGER
index
INTEGER
poster_id
INTEGER
original_author
TEXT
original_author_id
INTEGER
name
🔍 代码审查报告:pay-260616 - Merge branch 'pay-260616' of https://gitea.g-hi.co
TEXT
content
## 自动代码审查报告 **分支**: pay-260616 **提交**: `b3e6dcf46bee5866a10229a671616ec8e0c5b8e5` **提交人**: LITTLEMAIDI (11833999+littlemaidi@user.noreply.gitee.com) **时间**: 2026-06-02 11:54:00 --- ## 1. 审查摘要 - **代码质量评分**:5.5 / 10 分 - **总体评价**:代码承载了复杂的订单计价、支付回调、退款及时间预订逻辑,业务覆盖面广。但存在明显的“上帝类”与“面条代码”特征,方法过长、职责混杂、大量魔法数字硬编码。财务计算缺乏精度控制,事务处理与框架规范存在偏差,整体可维护性与安全性亟待提升。 - **风险等级**:🔴 高(涉及资金计算精度、潜在 SQL 注入、事务状态机破坏) > 📌 **框架适配说明**:您提供的代码结构(`BASEPATH`、`get_instance()`、`$this->CI->load->`、`Simple_model` 等)高度符合 **CodeIgniter 3** 规范,而非 `phpci`。以下审查将基于 CI3 最佳实践进行,若实际运行环境为 `phpci`,请核对底层加载器与事务机制的差异。 --- ## 2. 问题详情 | 严重程度 | 文件/行号 | 问题描述 | 建议修改方案 | 代码示例 (可选) | | :--- | :--- | :--- | :--- | :--- | | 🔴 严重 | `Neworderservice.php` (多处) | **浮点数精度丢失**:订单金额、折扣、服务费计算直接使用 `*` 和 `/`,未做精度处理,极易导致财务对账出现 `0.01` 元差异。 | 所有货币计算必须使用 `round($val, 2)` 或 `bcmath` 扩展。建议在累加后立即取整。 | `$actual_pay = round($goods['_actual_amount'] * $goods['_quantity'], 2);`<br>`$service_charge = round($actual_pay * $rate / 100, 2);` | | 🔴 严重 | `Neworderservice.php` ~L330 | **SQL 注入隐患**:`$pack_goods_where = "wares_package._package_id in (" . implode(",", $id_array['package_id']) . ")";` 直接拼接用户可控数组。 | 使用 CI 查询构建器或严格过滤。若必须拼接,需强制转为整型数组。 | `$ids = array_map('intval', $id_array['package_id']);`<br>`$this->db->where_in('_package_id', $ids);` | | 🔴 严重 | `Ahead_book_order_model.php` ~L75 | **事务状态机破坏**:在 `try` 块中手动调用 `$this->db->trans_rollback()` 后直接 `return`,会破坏 CI3 的 `trans_start()/trans_complete()` 自动提交/回滚机制,导致后续查询报错。 | 移除 `try` 内的手动 rollback,统一交由 `trans_complete()` 处理,或在 `catch` 中抛出异常。 | `try { ... } catch (Exception $e) { $this->db->trans_rollback(); log_message('error', $e->getMessage()); return ['status'=>false, 'msg'=>'支付异常']; }` | | 🟠 警告 | `Neworderservice.php` ~L480 | **生产环境遗留调试代码**:`echo $vip_upgrade_data_actual_pay;` 会直接输出到响应流,破坏 API JSON/XML 结构。 | 立即移除 `echo`,改用框架日志记录。 | `// echo ...;`<br>`doLog("VIP升级金额累加: {$vip_upgrade_data_actual_pay}", 'vip_upgrade');` | | 🟠 警告 | `Neworderservice.php` / `Ahead_book_order_model.php` (多处) | **模型重复加载**:在业务方法内部频繁调用 `$this->CI->load->model()`,每次调用都会触发文件包含与实例化,影响性能。 | 将依赖模型移至构造函数初始化,或配置 `autoload.php` 自动加载。 | `public function __construct() { parent::__construct(); $this->load->model(['Ahead_vip_level_model', 'Ahead_merchant_goods_model']); }` | | 🟠 警告 | `Ahead_book_order_model.php` ~L310 | **原始 SQL 更新风险**:`$log_up = '_status=4,_refund_amount=_actual_pay'; $this->ahead_pay_log_model->up($log_up, $log_where);` 使用字符串拼接更新条件,缺乏参数绑定。 | 使用 CI 的 `update()` 方法或查询构建器,确保字段与值分离。 | `$this->db->set('_status', 4)->set('_refund_amount', '_actual_pay', FALSE)->where($log_where)->update('ahead_pay_log');` | | 🟡 建议 | `Neworderservice.php` ~L105 | **方法命名拼写错误**:`rest_goods_price_by_un_vip` 中 `rest` 应为 `reset`。 | 修正命名以符合语义规范。 | `public function reset_goods_price_by_un_vip($data, $price_key = '_discount_price')` | | 🟡 建议 | 全局多处 | **魔法数字泛滥**:`100`, `-1`, `1`, `2`, `3`, `7`, `13`, `14`, `22`, `58`, `56` 等状态值与配置值硬编码,可读性差且易改错。 | 提取为类常量或独立配置文件(如 `config/order_status.php`)。 | `const STATUS_DISABLED = -1;`<br>`const PAY_PLATFORM_WECHAT = 1;`<br>`const VIP_DISCOUNT_BASE = 100;` | | 🟡 建议 | `Ahead_shop_book_time_info_model.php` | **静态属性缓存风险**:大量使用 `self::$book_days_info` 等静态变量缓存数据。在 PHP-FPM 长连接或 CLI 脚本中可能引发请求间状态污染。 | 改为实例属性 `$this->`,或使用 CI Cache 驱动(Redis/Memcached)进行跨请求缓存。 | `private $book_days_info = [];`<br>`public function get_book_days_info() { if (empty($this->book_days_info)) { ... } return $this->book_days_info; }` | --- ## 3. 总结与行动建议 ### 🔑 优先修复的关键问题 1. **财务精度控制**:立即全局替换浮点数直接运算,引入 `round($val, 2)` 或 `bcmath`。建议在数据库层使用 `DECIMAL(10,2)`,并在 PHP 层统一封装 `MoneyCalculator` 工具类。 2. **事务机制规范化**:CI3 的事务是状态机模式。请严格遵循 `trans_start() -> 业务逻辑 -> trans_complete()` 范式,**禁止**在 `try` 块中手动 `trans_rollback()` 后直接返回。若需手动控制,请改用 `trans_begin()` / `trans_rollback()` / `trans_commit()`。 3. **SQL 安全加固**:清理所有字符串拼接的 `WHERE` 条件,全面转向 `$this->db->where()`、`$this->db->where_in()` 或参数化查询。 ### 🛠 后续重构与优化方向 1. **拆分“上帝类”**: - `Neworderservice::getOrderTypeInfo()` 超过 400 行,混合了价格计算、优惠券校验、服务费计算、订单组装。建议按职责拆分为: - `PriceCalculatorService`(纯计算逻辑,无 DB 依赖) - `CouponValidatorService`(优惠券规则校验) - `OrderAssemblerService`(数据组装与持久化) 2. **统一异常与日志处理**: - 代码中混用 `throwError()`、`doLog()`、`do_log()`。建议统一使用 CI 的 `show_error()` / `log_message()`,或引入 Monolog 等现代日志组件。 - 错误码与提示信息应集中管理,避免硬编码散落在业务逻辑中。 3. **时间计算规范化**: - `Ahead_shop_book_time_info_model` 中大量使用 `strtotime()`、字符串拼接与 `date()` 进行时间区间计算。建议引入 `Carbon` 或 `DateTimeImmutable` 对象,避免跨天、夏令时、时区导致的边界 BUG。 4. **框架规范对齐**: - 遵循 PSR-12:类名使用 `PascalCase`(如 `NewOrderService`),方法名使用 `camelCase`,添加类型声明(PHP 7.4+ 支持 `array`, `int`, `bool` 等)。 - 若实际框架确为 `phpci`,请核对底层是否兼容 CI3 的 `load->model()` 与事务 API,必要时适配框架提供的 Service Container 与 ORM。 > 💡 **提示**:当前代码片段在末尾被截断,部分逻辑(如 `create_community_shop_book_order` 结尾、`_get_un_book_time` 结尾)未能完整审查。建议补充完整文件后再次进行静态扫描与边界用例测试。 --- *此 Issue 由代码审查服务自动创建*
TEXT
milestone_id
INTEGER
priority
INTEGER
is_closed
INTEGER
is_pull
INTEGER
num_comments
INTEGER
ref
TEXT
deadline_unix
INTEGER
created_unix
INTEGER
updated_unix
INTEGER
closed_unix
INTEGER
is_locked
INTEGER NOT NULL (default 0
content_version
INTEGER NOT NULL (default 0
time_estimate
INTEGER NOT NULL (default 0
Update
Cancel