sqlite-web 0.7.2
gitea.db
issue
Create
Query
access
access_token
action
action_artifact
action_run
action_run_index
action_run_job
action_runner
action_runner_token
action_schedule
action_schedule_spec
action_task
action_task_output
action_task_step
action_tasks_version
action_variable
app_state
attachment
auth_token
badge
branch
collaboration
comment
commit_status
commit_status_index
commit_status_summary
commit_sync_log
commit_sync_status
dbfs_data
dbfs_meta
deploy_key
email_address
email_hash
external_login_user
follow
gpg_key
gpg_key_import
hook_task
issue
issue_assignees
issue_content_history
issue_dependency
issue_index
issue_label
issue_pin
issue_user
issue_watch
label
language_stat
lfs_lock
lfs_meta_object
login_source
milestone
mirror
notice
notification
oauth2_application
oauth2_authorization_code
oauth2_grant
org_user
package
package_blob
package_blob_upload
package_cleanup_rule
package_file
package_property
package_version
project
project_board
project_issue
protected_branch
protected_tag
public_key
pull_auto_merge
pull_request
push_mirror
reaction
release
renamed_branch
repo_archiver
repo_hidden_file
repo_indexer_status
repo_license
repo_redirect
repo_topic
repo_transfer
repo_unit
repository
review
review_state
secret
session
sqlite_sequence
star
stopwatch
system_setting
task
team
team_invite
team_repo
team_unit
team_user
topic
tracked_time
two_factor
upload
user
user_badge
user_blocking
user_open_id
user_redirect
user_setting
version
watch
webauthn_credential
webhook
Toggle helper tables
Structure
Content
Query
Insert
Drop
Import
Export
Update row 531 in issue
id
Primary key.
INTEGER NOT NULL
repo_id
INTEGER
index
INTEGER
poster_id
INTEGER
original_author
TEXT
original_author_id
INTEGER
name
🔍 代码审查报告:pay-260616 - 1
TEXT
content
## 自动代码审查报告 **分支**: pay-260616 **提交**: `f09c8bb95e3d16ebe2806be518c989d8bf1b3d7d` **提交人**: LITTLEMAIDI (11833999+littlemaidi@user.noreply.gitee.com) **时间**: 2026-06-04 17:13:24 --- ## 1. 审查摘要 - **代码质量评分**:5.5 / 10 分 - **总体评价**:业务逻辑覆盖较完整,但存在大量重复代码、硬编码、未清理的调试输出及潜在的安全隐患。支付链路逻辑冗长且高度耦合,金额计算未处理浮点精度问题,整体可维护性与健壮性有待提升。 - **风险等级**:🔴 高 - **框架说明**:从代码特征(`BASEPATH`、`get_instance()`、`$this->load->model()` 等)判断,该项目实际基于 **CodeIgniter 3** 架构。以下审查将基于 CI3 最佳实践与通用 PHP 规范进行。若 `phpci` 为内部定制分支,请结合其官方文档微调。 ## 2. 问题详情 | 严重程度 | 文件/行号 | 问题描述 | 建议修改方案 | 代码示例 (可选) | | :--- | :--- | :--- | :--- | :--- | | 🔴 严重 | `Neworderservice.php` ~L350 | 循环中存在 `echo $vip_upgrade_data_actual_pay;` 调试输出。在 API 场景下会直接破坏 JSON 响应结构,导致前端解析失败或支付回调异常。 | **立即删除**该 `echo`。生产环境严禁使用 `echo`/`print_r`,应统一走日志组件。 | `// 删除: echo $vip_upgrade_data_actual_pay;` | | 🔴 严重 | `Neworderservice.php` ~L480 | `$pack_goods_where = "wares_package._package_id in (" . implode(",", $id_array['package_id']) . ")";` 将外部传入数组直接拼接至 SQL 条件,若未严格过滤则存在 SQL 注入风险。 | 使用 CI3 Query Builder 的 `where_in()` 或预处理占位符,彻底杜绝手动拼接。 | `$this->CI->db->where_in('wares_package._package_id', $id_array['package_id']);` | | 🔴 严重 | `Neworderservice.php` 多处 | 金额计算使用 `sprintf("%.2f", ...)` 及浮点数直接相乘。PHP 浮点数存在精度丢失(如 `0.1+0.2=0.30000000000000004`),极易引发财务对账不平。 | 货币计算统一转为**“分”(整数)**运算,或使用 `bcmath` 扩展(`bcmul`, `bcadd`)。 | `$price_cents = (int)bcmul($price, '100', 0); // 全程使用整数分计算,返回前再除以100` | | 🟠 警告 | `Order.php` 全文 | 控制器内频繁调用 `$this->load->model()` 与 `$this->load->library()`,且存在 `$CI =& get_instance();` 冗余调用。增加 I/O 开销,不符合 CI 规范。 | 将高频依赖移至 `__construct()` 加载;控制器内直接使用 `$this` 替代 `$CI`。 | `public function __construct() { parent::__construct(); $this->load->model('ahead_yc_order_model'); }` | | 🟠 警告 | `Order.php` L100~200 & L250~350 | `buyRenewalPackage` 与 `createOrder` 中微信支付/国通支付逻辑高度重复(超 80% 代码雷同),违反 DRY 原则,后续新增支付渠道将极难维护。 | 抽取为独立 `PaymentService` 或 `WechatPayHelper`,通过策略模式或参数路由区分业务场景。 | 见下方重构建议 | | 🟠 警告 | `Order.php` L185 | `do_log(var_export($chinaums_set, 1) . ...)` 直接记录完整支付配置数组,可能泄露商户密钥、API Secret 等敏感信息。 | 日志记录前脱敏,或仅记录关键流水号与状态。 | `do_log('chinaums_pay: order_id=' . $order_id . ', url=' . substr($url,0,50), 'buyRenewalPackage');` | | 🟠 警告 | `Order.php` L155 | `deleteOrder` 仅传入 `$order_id` 与 `$this->uid`,若底层模型未强制绑定 `uid` 条件,存在越权删除(IDOR)风险。 | 控制器层显式校验订单归属权,或确保模型层 `delete_one` 强制追加 `WHERE uid = ?`。 | `$order = $this->ahead_yc_order_model->get_one(['_id'=>$order_id, '_uid'=>$this->uid]); if(!$order) $this->error_response('无权操作');` | | 🟡 建议 | `Order.php` L3 | `include FCPATH . 'application' ... 'Index.php';` 手动包含控制器文件,破坏框架路由、自动加载与生命周期。 | 将 `Index` 移至 `application/core/MY_Controller.php`,通过标准继承机制复用。 | `class Order extends MY_Controller { ... }` | | 🟡 建议 | 两文件多处 | 存在大量注释代码(如 `//edit by nan...`、`/* $free_service_charge... */`)及魔法数字(`'1'`, `'2'`, `100`)。 | 清理废弃代码;使用常量/枚举类定义业务状态,提升可读性。 | `const ORDER_TYPE_RENEWAL = 4; const PAY_PLATFORM_WECHAT = 1;` | | 🟡 建议 | `Neworderservice.php` | 类名 `Neworderservice` 不符合 PSR-12 驼峰规范;静态属性访问 `$this->CI->Model::CONST` 写法不规范。 | 类名改为 `NewOrderService`;静态常量直接通过类名访问。 | `class NewOrderService { ... }` | ## 3. 总结与行动建议 ### 🚨 优先修复项(建议 1-2 个工作日内完成) 1. **清理调试输出**:全局搜索并移除 `echo`、`print_r`、`var_dump`,确保 API 响应纯净。 2. **修复 SQL 拼接**:将 `Neworderservice.php` 中所有 `implode` 拼接的 `IN` 条件替换为 Query Builder 的 `where_in()` 或预处理语句。 3. **金额精度治理**:将涉及价格计算、折扣、优惠券抵扣的浮点运算统一改为 `bcmath` 或“分”整数计算,避免财务资损。 4. **支付逻辑抽离**:将 `Order.php` 中重复的微信支付/国通支付代码提取至 `application/libraries/PaymentGateway.php`,控制器仅负责参数组装与结果返回。 ### 🛠 后续重构与优化方向 1. **依赖注入与构造函数加载**:将 `Order.php` 中所有 `$this->load->model()` 移至构造函数,利用 CI3 的自动加载机制减少运行时开销。 2. **输入校验前置**:在 `check_params` 或基类中引入统一的数据过滤层(如使用 `filter_var`、`ctype_digit` 或 CI3 `form_validation`),杜绝脏数据流入业务层。 3. **状态机与枚举化**:订单状态(`close_status`)、开房模式(`open_type`)、支付平台(`pay_platform`)等硬编码应抽象为配置常量或枚举类,降低维护成本。 4. **日志规范化**:替换全局 `do_log` 为 PSR-3 兼容的日志组件(如 Monolog),支持日志分级、上下文绑定与敏感字段自动脱敏。 5. **框架适配说明**:当前代码结构高度贴合 CodeIgniter 3。若 `phpci` 为定制框架,请确认其是否支持 PSR-4 自动加载、依赖注入容器及中间件机制,以便后续平滑升级至现代 PHP 架构。 > 💡 **局限性提示**:`Neworderservice.php` 文件内容在末尾被截断(`$result['have_good`),部分计费逻辑与订单组装流程未能完整审查。建议补充完整文件后,重点复核 `case '2'`/`case '4'` 分支的套餐时长计算、跨天逻辑及服务费叠加规则。 --- *此 Issue 由代码审查服务自动创建*
TEXT
milestone_id
INTEGER
priority
INTEGER
is_closed
INTEGER
is_pull
INTEGER
num_comments
INTEGER
ref
TEXT
deadline_unix
INTEGER
created_unix
INTEGER
updated_unix
INTEGER
closed_unix
INTEGER
is_locked
INTEGER NOT NULL (default 0
content_version
INTEGER NOT NULL (default 0
time_estimate
INTEGER NOT NULL (default 0
Update
Cancel