source: branches/version-2_12-dev/data/class/pages/admin/contents/LC_Page_Admin_Contents_RecommendSearch.php @ 22861

Revision 22861, 7.7 KB checked in by m_uehara, 7 years ago (diff)

#2264 おすすめ商品検索エスケープ漏れ対応

  • Property svn:eol-style set to LF
  • Property svn:keywords set to Id
  • Property svn:mime-type set to text/x-httpd-php; charset=UTF-8
Line 
1<?php
2/*
3 * This file is part of EC-CUBE
4 *
5 * Copyright(c) 2000-2013 LOCKON CO.,LTD. All Rights Reserved.
6 *
7 * http://www.lockon.co.jp/
8 *
9 * This program is free software; you can redistribute it and/or
10 * modify it under the terms of the GNU General Public License
11 * as published by the Free Software Foundation; either version 2
12 * of the License, or (at your option) any later version.
13 *
14 * This program is distributed in the hope that it will be useful,
15 * but WITHOUT ANY WARRANTY; without even the implied warranty of
16 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
17 * GNU General Public License for more details.
18 *
19 * You should have received a copy of the GNU General Public License
20 * along with this program; if not, write to the Free Software
21 * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
22 */
23
24// {{{ requires
25require_once CLASS_EX_REALDIR . 'page_extends/admin/LC_Page_Admin_Ex.php';
26
27/**
28 * おすすめ商品管理 商品検索のページクラス.
29 *
30 * @package Page
31 * @author LOCKON CO.,LTD.
32 * @version $Id$
33 */
34class LC_Page_Admin_Contents_RecommendSearch extends LC_Page_Admin_Ex {
35
36    // }}}
37    // {{{ functions
38
39    /**
40     * Page を初期化する.
41     *
42     * @return void
43     */
44    function init() {
45        parent::init();
46        $this->tpl_mainno = 'contents';
47        $this->tpl_subno = '';
48
49        $this->tpl_subtitle = '商品検索';
50    }
51
52    /**
53     * Page のプロセス.
54     *
55     * @return void
56     */
57    function process() {
58        $this->action();
59        $this->sendResponse();
60    }
61
62    /**
63     * Page のアクション.
64     *
65     * @return void
66     */
67    function action() {
68
69        $objDb = new SC_Helper_DB_Ex();
70        $objFormParam = new SC_FormParam_Ex();
71        $this->lfInitParam($objFormParam);
72        $objFormParam->setParam($_POST);
73        $objFormParam->convParam();
74
75        $rank = intval($_GET['rank']);
76
77        switch ($this->getMode()) {
78            case 'search':
79                // POST値の引き継ぎ
80                $this->arrErr = $this->lfCheckError($objFormParam);
81                $arrPost = $objFormParam->getHashArray();
82                // 入力された値にエラーがない場合、検索処理を行う。
83                // 検索結果の数に応じてページャの処理も入れる。
84                if (SC_Utils_Ex::isBlank($this->arrErr)) {
85                    $objProduct = new SC_Product_Ex();
86
87                    $wheres = $this->createWhere($objFormParam,$objDb);
88                    $this->tpl_linemax = $this->getLineCount($wheres,$objProduct);
89
90                    $page_max = SC_Utils_Ex::sfGetSearchPageMax($arrPost['search_page_max']);
91
92                    // ページ送りの取得
93                    $objNavi = new SC_PageNavi_Ex($arrPost['search_pageno'], $this->tpl_linemax, $page_max, 'fnNaviSearchOnlyPage', NAVI_PMAX);
94                    $this->tpl_strnavi = $objNavi->strnavi;      // 表示文字列
95                    $startno = $objNavi->start_row;
96
97                    $arrProduct_id = $this->getProducts($wheres, $objProduct, $page_max, $startno);
98                    $this->arrProducts = $this->getProductList($arrProduct_id,$objProduct);
99                    $this->arrForm = $arrPost;
100                }
101                break;
102            default:
103                break;
104        }
105
106        // カテゴリ取得
107        $this->arrCatList = $objDb->sfGetCategoryList();
108        $this->rank       = $rank;
109        $this->setTemplate('contents/recommend_search.tpl');
110
111    }
112
113    /**
114     * デストラクタ.
115     *
116     * @return void
117     */
118    function destroy() {
119        parent::destroy();
120    }
121
122    /**
123     * パラメーターの初期化を行う
124     * @param Object $objFormParam
125     */
126    function lfInitParam(&$objFormParam) {
127        $objFormParam->addParam('商品ID', 'search_name', LTEXT_LEN, 'KVa', array('MAX_LENGTH_CHECK'));
128        $objFormParam->addParam('商品ID', 'search_category_id', INT_LEN, 'n', array('MAX_LENGTH_CHECK','NUM_CHECK'));
129        $objFormParam->addParam('商品コード', 'search_product_code', LTEXT_LEN, 'KVa', array('MAX_LENGTH_CHECK'));
130        $objFormParam->addParam('ページ番号', 'search_pageno', INT_LEN, 'n', array('MAX_LENGTH_CHECK','NUM_CHECK'));
131    }
132
133    /**
134     * 入力されたパラメーターのエラーチェックを行う。
135     * @param Object $objFormParam
136     * @return Array エラー内容
137     */
138    function lfCheckError(&$objFormParam) {
139        $objErr = new SC_CheckError_Ex($objFormParam->getHashArray());
140        $objErr->arrErr = $objFormParam->checkError();
141        return $objErr->arrErr;
142    }
143
144    /**
145     *
146     * POSTされた値からSQLのWHEREとBINDを配列で返す。
147     * @return array ('where' => where string, 'bind' => databind array)
148     * @param SC_FormParam $objFormParam
149     */
150    function createWhere(&$objFormParam,&$objDb) {
151        $arrForm = $objFormParam->getHashArray();
152        $where = 'alldtl.del_flg = 0';
153        $bind = array();
154        foreach ($arrForm as $key => $val) {
155            if ($val == '') {
156                continue;
157            }
158
159            switch ($key) {
160                case 'search_name':
161                    $where .= ' AND name ILIKE ?';
162                    $bind[] = '%'.$val.'%';
163                    break;
164                case 'search_category_id':
165                    list($tmp_where, $tmp_bind) = $objDb->sfGetCatWhere($val);
166                    if ($tmp_where != '') {
167                        $where.= ' AND alldtl.product_id IN (SELECT product_id FROM dtb_product_categories WHERE ' . $tmp_where . ')';
168                        $bind = array_merge((array)$bind, (array)$tmp_bind);
169                    }
170                    break;
171                case 'search_product_code':
172                    $where .=    ' AND alldtl.product_id IN (SELECT product_id FROM dtb_products_class WHERE product_code LIKE ? GROUP BY product_id)';
173                    $bind[] = '%'.$val.'%';
174                    break;
175                default:
176                    break;
177            }
178        }
179        return array(
180            'where'=>$where,
181            'bind' => $bind
182        );
183    }
184
185    /**
186     *
187     * 検索結果対象となる商品の数を返す。
188     * @param array $whereAndBind
189     * @param SC_Product $objProduct
190     */
191    function getLineCount($whereAndBind,&$objProduct) {
192        $where = $whereAndBind['where'];
193        $bind = $whereAndBind['bind'];
194        // 検索結果対象となる商品の数を取得
195        $objQuery =& SC_Query_Ex::getSingletonInstance();
196        $objQuery->setWhere($where);
197        $linemax = $objProduct->findProductCount($objQuery, $bind);
198        return $linemax;   // 何件が該当しました。表示用
199    }
200
201    /**
202     * 検索結果の取得
203     * @param array $whereAndBind string whereと array bindの連想配列
204     * @param SC_Product $objProduct
205     */
206    function getProducts($whereAndBind,&$objProduct, $page_max, $startno) {
207        $where = $whereAndBind['where'];
208        $bind = $whereAndBind['bind'];
209        $objQuery =& SC_Query_Ex::getSingletonInstance();
210        $objQuery->setWhere($where);
211        // 取得範囲の指定(開始行番号、行数のセット)
212        $objQuery->setLimitOffset($page_max, $startno);
213        // 検索結果の取得
214        return $objProduct->findProductIdsOrder($objQuery, $bind);
215    }
216
217    /**
218     * 商品取得
219     *
220     * @param array $arrProductId
221     * @param SC_Product $objProduct
222     */
223    function getProductList($arrProductId, &$objProduct) {
224        $objQuery =& SC_Query_Ex::getSingletonInstance();
225
226        // 表示順序
227        $order = 'update_date DESC, product_id DESC';
228        $objQuery->setOrder($order);
229        return $objProduct->getListByProductIds($objQuery, $arrProductId);
230    }
231}
Note: See TracBrowser for help on using the repository browser.