Ticket #1484 (closed バグ指摘: 修正済)
SC_Product#lists の第2引数($arrVal)が実質的に無効
Reported by: | Seasoft | Owned by: | somebody |
---|---|---|---|
Priority: | 中 | Milestone: | EC-CUBE2.11.3 |
Component: | その他 | Version: | 2.11.2 |
Keywords: | Cc: | ||
修正済み: | yes |
Description
WHERE 句を2箇所に展開しているのが原因と推測。
なお、このバグを強引に回避するため、呼び出し元で WHERE 句にベタ書きする実装があり、脆弱性を招くと感じる。
できれば、第2自体を廃止し、引数として呼ぶのではなく、SC_Query 経由でプレースホルダも引渡しする方法を提供したい。(だめなら、どっちも引数に。)
- dtb_products_class に対する副問い合わせで、del_flg を見ていない点を回避しようと強引な実装を行なった懸念を感じる。一般的に考えると、(dtb_products も含め) del_flg を抽出条件に加えて良いように感じる。
Change History
Note: See
TracTickets for help on using
tickets.