sqlite-web 0.7.2
gitea.db
issue
Create
Query
access
access_token
action
action_artifact
action_run
action_run_index
action_run_job
action_runner
action_runner_token
action_schedule
action_schedule_spec
action_task
action_task_output
action_task_step
action_tasks_version
action_variable
app_state
attachment
auth_token
badge
branch
collaboration
comment
commit_status
commit_status_index
commit_status_summary
commit_sync_log
commit_sync_status
dbfs_data
dbfs_meta
deploy_key
email_address
email_hash
external_login_user
follow
gpg_key
gpg_key_import
hook_task
issue
issue_assignees
issue_content_history
issue_dependency
issue_index
issue_label
issue_pin
issue_user
issue_watch
label
language_stat
lfs_lock
lfs_meta_object
login_source
milestone
mirror
notice
notification
oauth2_application
oauth2_authorization_code
oauth2_grant
org_user
package
package_blob
package_blob_upload
package_cleanup_rule
package_file
package_property
package_version
project
project_board
project_issue
protected_branch
protected_tag
public_key
pull_auto_merge
pull_request
push_mirror
reaction
release
renamed_branch
repo_archiver
repo_hidden_file
repo_indexer_status
repo_license
repo_redirect
repo_topic
repo_transfer
repo_unit
repository
review
review_state
secret
session
sqlite_sequence
star
stopwatch
system_setting
task
team
team_invite
team_repo
team_unit
team_user
topic
tracked_time
two_factor
upload
user
user_badge
user_blocking
user_open_id
user_redirect
user_setting
version
watch
webauthn_credential
webhook
Toggle helper tables
Structure
Content
Query
Insert
Drop
Import
Export
Update row 562 in issue
id
Primary key.
INTEGER NOT NULL
repo_id
INTEGER
index
INTEGER
poster_id
INTEGER
original_author
TEXT
original_author_id
INTEGER
name
🔍 代码审查报告:pay-260616 - 1
TEXT
content
## 自动代码审查报告 **分支**: pay-260616 **提交**: `a46b34e8e71fd98265df4820d875c94fa41cd9c6` **提交人**: LITTLEMAIDI (11833999+littlemaidi@user.noreply.gitee.com) **时间**: 2026-06-05 14:22:37 --- ## 1. 审查摘要 - **代码质量评分**:5.5/10 分 - **总体评价**:该 Model 承载了大量核心业务逻辑(套餐查询、VIP折扣计算、跨天时间判断、社区模式过滤、原生SQL拼接等),功能实现较为完整,但存在明显的**安全漏洞**、**逻辑缺陷**与**性能瓶颈**。代码结构臃肿,方法过长,硬编码与历史注释较多,且文件末尾被截断,无法完整评估最后一个方法。整体需进行安全加固与架构重构。 - **风险等级**:🔴 高 ## 2. 问题详情 | 严重程度 | 文件/行号 | 问题描述 | 建议修改方案 | 代码示例 (可选) | | :--- | :--- | :--- | :--- | :--- | | 🔴 严重 | `get_book_package_list` / `get_hot_sale_top5` 等多处 | **SQL 注入风险**:多处使用字符串拼接构造原生 SQL,未对 `$shop_name`、`$param['special_merchant_id']` 等外部参数进行转义或参数绑定。 | 1. 优先使用 CI 查询构造器 (`$this->db->like()`, `$this->db->where()`)。<br>2. 若必须用原生 SQL,强制使用 `$this->db->escape()` 或预处理。 | `$sql .= " AND \`shop\`.\`_name\` LIKE '%" . $this->db->escape_like_str($shop_name) . "%'";` | | 🔴 严重 | `get_package_price_list` / `get_screen_list` 循环内 | **`unset($row)` 无法过滤数组元素**:在 `foreach ($list as &$row)` 中使用 `unset($row)` 仅断开引用变量,**不会从原数组中移除元素**,导致无效套餐仍被返回。 | 改用 `array_filter` 或记录键值后 `unset($list[$key])`。 | `foreach ($list as $key => $row) { if ($book_arrival_time < $order_end_time) { unset($list[$key]); continue; } }` | | 🟠 警告 | 文件顶部 (第4行) | **全局 `$CI = &get_instance();` 滥用**:在类外部直接调用 `get_instance()`,每次 `include` 该文件都会执行,浪费资源且可能在框架未初始化时报错。 | 移除全局调用。在类内部需要时通过 `$this->ci = &get_instance();` 或直接在方法内按需获取。 | `// 删除顶部 $CI = &get_instance();`<br>`// 在方法内使用:$CI =& get_instance();` | | 🟠 警告 | `get_package_price_list` / `get_screen_list` | **`array_unshift` 在循环中调用导致 O(N²) 性能损耗**:每次插入推荐商品都会移动整个数组,数据量大时严重拖慢响应。 | 收集推荐与非推荐数据后,使用 `array_merge` 或 `array_reverse` 合并,避免循环内移位。 | `$recommended[] = $row; $normal[] = $row;`<br>`$result['drink'] = array_merge($recommended, $normal);` | | 🟠 警告 | 全局多处 | **魔法数字与硬编码散落**:`4`, `2`, `10`, `100`, `86400`, `0.01` 等直接参与业务计算,可读性差且难以维护。 | 提取为类常量或配置文件。例如 `const MIN_PRICE_THRESHOLD = 0.01;` `const SECONDS_PER_DAY = 86400;` | `const DISCOUNT_DIVISOR = 100;`<br>`$rate = $db_rate / self::DISCOUNT_DIVISOR;` | | 🟡 建议 | `get_package_price_list` 折扣计算段 | **折扣率计算逻辑冗余**:连续两次 `/10` (`$goods_discount_rate / 10 / 10`) 意图是转为小数,但易引发误解且精度可能丢失。 | 统一除以 100 转换为小数,或直接在数据库层存储为 `0.95` 格式。 | `$discount_rate = $vip_data['goods_discount_rate'] / 100;` | | 🟡 建议 | 全局方法命名 | **命名规范不一致**:混用驼峰 (`getPackageInfoByIds`) 与下划线 (`get_package_price_list`),违反 PSR-12。 | 统一采用下划线命名法(CI 传统)或驼峰法,保持项目级一致。 | `public function get_package_info_by_ids(...)` | | 🟡 建议 | 全局 | **遗留注释与 TODO 未清理**:`//edit by nan 24.7.1...`、`//todo` 等提交记录残留在代码中,干扰阅读。 | 清理所有版本控制注释,TODO 应录入项目管理工具(如 Jira/Tapd)。 | 移除 `//edit by nan...` 及 `//todo` | ## 3. 总结与行动建议 ### 🚨 优先修复的关键问题 1. **立即修复 SQL 注入漏洞**:所有涉及用户输入拼接 SQL 的地方必须替换为查询构造器或参数绑定。这是生产环境最高风险项。 2. **修正数组过滤逻辑**:将 `unset($row)` 替换为 `unset($list[$key])` 或 `array_filter`,否则业务筛选功能形同虚设。 3. **消除循环内 `array_unshift`**:重构推荐商品排序逻辑,避免 O(N²) 时间复杂度,提升高并发下的接口响应速度。 ### 🛠 后续重构与优化方向 1. **框架适配说明**:当前代码结构、`$this->load->model()`、`$this->db->query()` 等特征高度符合 **CodeIgniter 3** 规范,而非 `phpci`。若项目确为 `phpci`,请核对框架文档确认模型加载与 DB 驱动调用方式;若为 CI3,建议全面启用 Query Builder 替代原生 SQL。 2. **方法拆分与单一职责**:`get_package_price_list` 与 `get_screen_list` 均超过 150 行,混合了数据查询、VIP计算、社区模式过滤、时间校验、数据格式化。建议拆分为: - `buildPackageQueryConditions()` - `calculateVipDiscount()` - `filterCommunityAvailablePackages()` - `formatPackageResponse()` 3. **静态缓存风险**:`static public $_shop_id_arr` 在 PHP-FPM 环境下虽随请求销毁,但在 Swoole/Workerman 等常驻内存环境中会导致数据污染。建议改用 CI Cache 驱动 (`$this->cache->save()`) 或 Redis。 4. **代码截断提示**:提供的代码在 `get_book_package_list_group_by_shop` 方法的 `$special_city_id = [2, 3, 4, 5, 34,` 处突然中断。请补充完整代码以便进行后续的分页逻辑、距离排序及边界条件审查。 > 💡 **专家建议**:该 Model 已演变为“上帝类”,承载了过多业务逻辑。建议在后续迭代中引入 **Service 层** 或 **Repository 模式**,将复杂计算、多表关联、第三方坐标转换等逻辑剥离,Model 仅保留数据映射与基础 CRUD,以提升可测试性与长期可维护性。 --- *此 Issue 由代码审查服务自动创建*
TEXT
milestone_id
INTEGER
priority
INTEGER
is_closed
INTEGER
is_pull
INTEGER
num_comments
INTEGER
ref
TEXT
deadline_unix
INTEGER
created_unix
INTEGER
updated_unix
INTEGER
closed_unix
INTEGER
is_locked
INTEGER NOT NULL (default 0
content_version
INTEGER NOT NULL (default 0
time_estimate
INTEGER NOT NULL (default 0
Update
Cancel