sqlite-web 0.7.2
gitea.db
issue
Create
Query
access
access_token
action
action_artifact
action_run
action_run_index
action_run_job
action_runner
action_runner_token
action_schedule
action_schedule_spec
action_task
action_task_output
action_task_step
action_tasks_version
action_variable
app_state
attachment
auth_token
badge
branch
collaboration
comment
commit_status
commit_status_index
commit_status_summary
commit_sync_log
commit_sync_status
dbfs_data
dbfs_meta
deploy_key
email_address
email_hash
external_login_user
follow
gpg_key
gpg_key_import
hook_task
issue
issue_assignees
issue_content_history
issue_dependency
issue_index
issue_label
issue_pin
issue_user
issue_watch
label
language_stat
lfs_lock
lfs_meta_object
login_source
milestone
mirror
notice
notification
oauth2_application
oauth2_authorization_code
oauth2_grant
org_user
package
package_blob
package_blob_upload
package_cleanup_rule
package_file
package_property
package_version
project
project_board
project_issue
protected_branch
protected_tag
public_key
pull_auto_merge
pull_request
push_mirror
reaction
release
renamed_branch
repo_archiver
repo_hidden_file
repo_indexer_status
repo_license
repo_redirect
repo_topic
repo_transfer
repo_unit
repository
review
review_state
secret
session
sqlite_sequence
star
stopwatch
system_setting
task
team
team_invite
team_repo
team_unit
team_user
topic
tracked_time
two_factor
upload
user
user_badge
user_blocking
user_open_id
user_redirect
user_setting
version
watch
webauthn_credential
webhook
Toggle helper tables
Structure
Content
Query
Insert
Drop
Import
Export
Update row 594 in issue
id
Primary key.
INTEGER NOT NULL
repo_id
INTEGER
index
INTEGER
poster_id
INTEGER
original_author
TEXT
original_author_id
INTEGER
name
🔍 代码审查报告:pay-260616 - Merge branch 'pay-260616' of https://gitea.g-hi.co
TEXT
content
## 自动代码审查报告 **分支**: pay-260616 **提交**: `40bd6fe91deb9630803e63a5b01dbf8e797b67d8` **提交人**: LITTLEMAIDI (11833999+littlemaidi@user.noreply.gitee.com) **时间**: 2026-06-08 15:25:31 --- ## 1. 审查摘要 - **代码质量评分**:5.5 / 10 分 - **总体评价**:代码实现了较为复杂的预订、支付、退款及门店配置业务,但存在明显的架构与规范问题。核心模型文件过于臃肿,违反单一职责原则;存在多处 SQL 拼接隐患、事务管理不规范、边界条件未处理等问题。前端 JS 存在重复键与空指针风险。整体可维护性与安全性有待大幅提升。 - **风险等级**:🔴 高(存在 SQL 注入风险、事务状态不一致、空指针崩溃隐患) > 📌 **框架说明**:代码实际使用的是 **CodeIgniter 3/4** 架构模式(如 `$CI = &get_instance()`、`$this->load->model()`),而非 `phpci`。以下审查将基于 CI 框架最佳实践与通用 PHP 规范进行。若为内部定制版 `phpci`,底层逻辑仍适用。 --- ## 2. 问题详情 | 严重程度 | 文件/行号 | 问题描述 | 建议修改方案 | 代码示例 (可选) | | :--- | :--- | :--- | :--- | :--- | | 🔴 严重 | `Ahead_yc_order_model.php`<br>`get_bill_goods_info()` | **SQL 注入风险**:直接使用字符串拼接构造查询条件 `$sql = '_unique_key="' . $unique_key . '" AND ...'`,若 `$unique_key` 未严格过滤,将导致注入。 | 使用 CI 查询构建器或参数绑定,杜绝字符串拼接。 | `$this->db->where('_unique_key', $unique_key)->where_in('_status', [1,4])->...` | | 🔴 严重 | `Ahead_book_order_model.php`<br>`refund_by_notify()` | **SQL 注入风险**:`$log_where = '_relation_id="' . $order_data['_id'] . '" and ...'` 同样存在拼接隐患。 | 同上,改用查询构建器或 `where()` 链式调用。 | `$this->db->where('_relation_id', $order_data['_id'])->where('_status', 1)->where_in('_type', [5,13])` | | 🔴 严重 | `continue-packages.js`<br>`toPayPage()` | **空指针/越界崩溃**:`packageIndex` 初始为 `-1`,若用户未选择套餐直接点击下一步,`this.data.package_list[-1]` 将返回 `undefined`,导致小程序白屏。 | 增加前置校验,确保索引有效且数组非空。 | `if (this.data.packageIndex < 0 || !this.data.package_list[this.data.packageIndex]) { wx.showToast({title:'请选择套餐', icon:'none'}); return; }` | | 🟠 警告 | `Ahead_book_order_model.php`<br>`check_notify()` | **事务管理混乱**:混用 `trans_start()/trans_complete()` 与手动 `trans_rollback()`。CI 的 `trans_complete()` 会自动回滚失败事务,手动调用可能导致状态冲突或重复回滚。 | 统一使用 `trans_begin()/trans_commit()/trans_rollback()` 显式控制,或完全依赖 `trans_start()/trans_complete()` 自动机制。 | `try { $this->db->trans_begin(); ... $this->db->trans_commit(); } catch(\Exception $e) { $this->db->trans_rollback(); throw $e; }` | | 🟠 警告 | `Ahead_shop_config_second_model.php`<br>`get_shop_setting()` | **巨型 Switch 与重复逻辑**:超 100 行的 `switch` 维护成本极高,且多处时间跨天判断逻辑重复。 | 提取配置映射表,将重复的跨天时间计算封装为独立私有方法。 | `private function isTimeInRange($now, $start, $end) { ... }` 配合配置数组动态读取。 | | 🟠 警告 | `Ahead_book_order_model.php`<br>`send_success_msg()` | **模型频繁加载**:在方法内部多次调用 `$this->load->model()`,每次请求重复实例化,影响性能。 | 在类构造函数中统一加载,或使用 CI 的自动加载配置。 | `public function __construct() { parent::__construct(); $this->load->model(['ahead_merchant_room_type_model', ...]); }` | | 🟡 建议 | `continue-packages.js`<br>`data` 定义 | **对象键重复**:`operational_scene` 在 `data` 中声明了两次,后者会覆盖前者,易引发维护困惑。 | 删除重复键,保持数据结构清晰。 | `data: { ..., operational_scene: '', ... }` | | 🟡 建议 | `continue-packages.js`<br>`onHourTap()` | **手动构造事件对象**:`this.onHourTap({ currentTarget: { dataset: { index: 0, item: hourList[0] } } })` 属于 Hack 写法,破坏框架事件流。 | 提取公共逻辑为独立方法 `calculateHourPrice(index, item)`,供点击与初始化共用。 | `calculateHourPrice(index, item) { ... }` | | 🟡 建议 | 全局 PHP 文件 | **文件级 `$CI` 引用**:`$CI = &get_instance();` 放在类外部,违反 CI 规范且可能在非请求上下文报错。 | 移除文件级引用,在类方法内通过 `$this->ci = &get_instance()` 或直接使用 `$this->load`。 | `class Ahead_book_order_model extends Simple_model { protected $ci; public function __construct() { parent::__construct(); $this->ci =& get_instance(); } }` | | 🟡 建议 | 全局 PHP 文件 | **日志函数不一致**:混用 `doLog()` 与 `do_log()`,且硬编码日志分类字符串。 | 统一日志函数,建议使用 PSR-3 标准或框架内置日志组件。 | `$this->ci->logger->error('支付失败', ['trace' => $e->getTrace()]);` | --- ## 3. 总结与行动建议 ### 🔑 优先修复的关键问题 1. **立即修复 SQL 注入漏洞**:所有涉及 `$sql = '...' . $var . '...'` 或 `$log_where = '...'` 的查询必须替换为 CI 查询构建器(`$this->db->where()`)或预处理语句。 2. **防御性编程补全**:前端 `toPayPage` 必须增加索引有效性校验;后端 `refund_by_notify` 等核心资金操作需增加参数类型校验与空值拦截。 3. **规范事务生命周期**:统一使用 `trans_begin()` → 业务逻辑 → `trans_commit()`,失败时 `catch` 中 `trans_rollback()`。避免与 `trans_complete()` 混用。 ### 🛠 后续重构与优化方向 1. **拆分巨型模型(SRP 原则)**:`Ahead_book_order_model` 与 `Ahead_yc_order_model` 承担了订单创建、支付回调、退款、消息推送、账单合并等数十项职责。建议拆分为: - `OrderService`(业务编排) - `PaymentGateway`(支付/退款路由) - `NotificationService`(短信/微信模板) - `BillCalculator`(账单合并逻辑) 2. **配置与魔法数字治理**:代码中大量出现 `1, 2, 3, 10, 14` 等状态码。建议统一提取为 `const` 或枚举类(如 `OrderStatus::PAID = 1`),提升可读性。 3. **静态缓存策略优化**:`self::$shop_config` 在 PHP-FPM 下是进程级缓存,需注意多门店数据污染问题。建议结合 Redis 或 CI Cache 驱动实现分布式缓存,并设置合理的 TTL。 4. **代码规范对齐**:全面启用 PSR-12 规范(命名空间、类型声明、数组短语法 `[]`、统一缩进)。建议接入 `PHP_CodeSniffer` 或 `PHP-CS-Fixer` 进行 CI/CD 自动化检查。 5. **补全截断代码**:`Ahead_book_order_model.php` 与 `Ahead_yc_order_model.php` 末尾代码被截断,请确保提交完整逻辑,避免线上语法解析错误。 > 💡 **提示**:若项目确为 `phpci` 定制框架,请确认其是否兼容 CI3 的 `load->model()` 语法。若为自研框架,建议逐步迁移至现代 PHP 特性(PHP 8.1+、依赖注入容器、严格类型声明),以降低长期维护成本。 --- *此 Issue 由代码审查服务自动创建*
TEXT
milestone_id
INTEGER
priority
INTEGER
is_closed
INTEGER
is_pull
INTEGER
num_comments
INTEGER
ref
TEXT
deadline_unix
INTEGER
created_unix
INTEGER
updated_unix
INTEGER
closed_unix
INTEGER
is_locked
INTEGER NOT NULL (default 0
content_version
INTEGER NOT NULL (default 0
time_estimate
INTEGER NOT NULL (default 0
Update
Cancel