id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	modified_flg
1484	SC_Product#lists の第2引数($arrVal)が実質的に無効	Seasoft	somebody	"WHERE 句を2箇所に展開しているのが原因と推測。

なお、このバグを強引に回避するため、呼び出し元で WHERE 句にベタ書きする実装があり、脆弱性を招くと感じる。

できれば、第2自体を廃止し、引数として呼ぶのではなく、SC_Query 経由でプレースホルダも引渡しする方法を提供したい。(だめなら、どっちも引数に。)

  * dtb_products_class に対する副問い合わせで、del_flg を見ていない点を回避しようと強引な実装を行なった懸念を感じる。一般的に考えると、(dtb_products も含め) del_flg を抽出条件に加えて良いように感じる。"	バグ指摘	closed	中	EC-CUBE2.11.3	その他	2.11.2	修正済			1