Telegram-Market/telegram-shop
1
1
Fork 0
Code Issues 40 Pull Requests Actions Packages Projects 1 Releases Wiki Activity

Добавить валидацию входных данных во всех handlers #47

New Issue
Closed
opened 2026-06-17 19:39:20 +00:00 by NW · 1 comment
NW commented 2026-06-17 19:39:20 +00:00
Owner
Copy Link

Проблема

msg.text и другие пользовательские данные вставляются в БД без валидации:

  • Нет лимита длины для имён категорий, локаций
  • Нет проверки на NaN для числовых полей (bonus balance)
  • Нет санитизации product import JSON
  • Нет валидации walletType против whitelist

Решение

  • Расширить src/utils/validators.js — добавить валидаторы для всех типов
  • Валидация длины строк (max 255 для имён, max 1000 для описаний)
  • Валидация чисел (bounds checking, NaN protection)
  • Валидация walletType против whitelist ['BTC', 'LTC', 'ETH', 'USDT', 'USDC']
  • Schema-валидация для product import JSON
  • Применить валидаторы во всех handlers

Файлы

  • src/utils/validators.js
  • src/handlers/adminHandlers/adminProductHandler.js
  • src/handlers/adminHandlers/adminUserHandler.js
  • src/handlers/adminHandlers/adminLocationHandler.js

Приоритет: ВЫСОКИЙ

## Проблема `msg.text` и другие пользовательские данные вставляются в БД без валидации: - Нет лимита длины для имён категорий, локаций - Нет проверки на NaN для числовых полей (bonus balance) - Нет санитизации product import JSON - Нет валидации walletType против whitelist ## Решение - [ ] Расширить `src/utils/validators.js` — добавить валидаторы для всех типов - [ ] Валидация длины строк (max 255 для имён, max 1000 для описаний) - [ ] Валидация чисел (bounds checking, NaN protection) - [ ] Валидация walletType против whitelist `['BTC', 'LTC', 'ETH', 'USDT', 'USDC']` - [ ] Schema-валидация для product import JSON - [ ] Применить валидаторы во всех handlers ## Файлы - `src/utils/validators.js` - `src/handlers/adminHandlers/adminProductHandler.js` - `src/handlers/adminHandlers/adminUserHandler.js` - `src/handlers/adminHandlers/adminLocationHandler.js` ## Приоритет: ВЫСОКИЙ
NW added this to the Phase 1: Security & Secrets Management milestone 2026-06-17 19:39:20 +00:00
NW added the priority::hightype::securityphase::1 labels 2026-06-17 19:39:20 +00:00
NW closed this issue 2026-06-17 20:45:52 +00:00
NW commented 2026-06-17 21:04:34 +00:00
Author
Owner
Copy Link

Реализовано

  • Расширить src/utils/validators.js — добавить валидаторы для всех типов
  • Валидация длины строк (max 255 для имён, max 1000 для описаний)
  • Валидация чисел (bounds checking, NaN protection, Number.isFinite)
  • Валидация walletType против whitelist [BTC, LTC, ETH, USDT, USDC]
  • Валидация числовых ID (isValidNumericId, isValidTelegramId)
  • Применить валидаторы во всех handlers

Файлы: src/utils/validators.js, src/services/productService.js, src/handlers/adminHandlers/adminProductHandler.js, src/handlers/adminHandlers/adminUserHandler.js, src/handlers/adminHandlers/adminWalletsHandler.js, src/handlers/userHandlers/userProductHandler.js, src/handlers/userHandlers/userWalletsHandler.js

## ✅ Реализовано - [x] Расширить `src/utils/validators.js` — добавить валидаторы для всех типов - [x] Валидация длины строк (max 255 для имён, max 1000 для описаний) - [x] Валидация чисел (bounds checking, NaN protection, Number.isFinite) - [x] Валидация walletType против whitelist [BTC, LTC, ETH, USDT, USDC] - [x] Валидация числовых ID (isValidNumericId, isValidTelegramId) - [x] Применить валидаторы во всех handlers **Файлы**: `src/utils/validators.js`, `src/services/productService.js`, `src/handlers/adminHandlers/adminProductHandler.js`, `src/handlers/adminHandlers/adminUserHandler.js`, `src/handlers/adminHandlers/adminWalletsHandler.js`, `src/handlers/userHandlers/userProductHandler.js`, `src/handlers/userHandlers/userWalletsHandler.js`
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
phase::1
Phase 1: Security
 phase::1
Phase 1
 phase::1
Phase 1
 phase::2
Phase 2: Architecture
 phase::2
Phase 2
 phase::3
Phase 3: Admin API
 phase::3
Phase 3
 phase::4
Phase 4: Web UI
 phase::4
Phase 4
 phase::5
Phase 5: Quality
 phase::5
Phase 5
 priority::critical
Critical priority
 priority::critical
Critical priority
 priority::high
High priority
 priority::high
High priority
 priority::medium
Medium priority
 priority::medium
Medium priority
 type::bug
Bug fix
 type::bug
Bug
 type::feature
New feature
 type::feature
Feature
 type::infra
Infrastructure
 type::infra
Infrastructure
 type::refactor
Code refactoring
 type::refactor
Refactoring
 type::security
Security issue
 type::security
Security
 type::testing
Testing
 type::testing
Testing
No Label phase::1 priority::high type::security
Milestone
No items
No Milestone Phase 1: Security & Secrets Management
Projects
Clear projects
No project
Assignees
Clear assignees
NW
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: Telegram-Market/telegram-shop#47
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?