@nitra/cursor 1.8.141 → 1.8.142

package/mdc/js-mssql.mdc

@@ -4,11 +4,18 @@ alwaysApply: true
 version: '1.1'
 ---
 
-Якщо в проекті в будь-якому `package.json` в секції `dependencies` присутній пакет **`mssql`**,
-то його версія повинна бути не менше **12.5.0**.
+## Підтримувана версія SQL Server
+
+Правило орієнтоване на **SQL Server 2019**.
+
+## Версія пакета `mssql`
+
+Якщо в проекті в будь-якому `package.json` в секції `dependencies` присутній пакет **`mssql`**, то його версія повинна бути не менше **12.5.0**.
 
 Потрібно використовувати connection pool (sql.ConnectionPool) як singleton, а НЕ створювати підключення на кожен запит.
 
+## Як виконувати запити (безпечно)
+
 tagged template треба викликати на request-обʼєкті цього пулу:
 ```javascript
 javascript// db.js
@@ -46,7 +53,10 @@ const result = await pool.request().query`
 
 Ключове: pool.request().query\...`— бекті́ки післяquery`, без круглих дужок. Це той самий tagged template, тільки контекст — конкретний пул, а не глобальний.
 
-Що НЕ робити
+## Що НЕ робити
+
+### Не робити `query(\`...\`)`
+
 javascript// ❌ Це не tagged template — це конкатенація рядка перед викликом
 ```javascript
 await pool.request().query(`SELECT * FROM users WHERE id = ${userId}`);
@@ -56,4 +66,98 @@ await pool.request().query(`SELECT * FROM users WHERE id = ${userId}`);
 Різниця між query\...`іquery(`...`)` — критична. Перше безпечне, друге — діра.
 Потрібно використовувати перше. Потрібно шукати в коді друге і заміняти на перше.
 
+### Не шарити `Request` між запитами
+
+Заборонено робити singleton `request` на рівні модуля на кшталт:
+
+```javascript
+// ❌ НЕ МОЖНА
+export const request = pool.request();
+```
+
+`Request` має створюватися **щоразу заново**:
+
+```javascript
+// ✅ МОЖНА
+const request = pool.request();
+```
+
+Це особливо важливо для **TVP** (табличні параметри) та будь-яких `.input(...)`.
+
+## TVP дозволений і рекомендований (SQL Server 2019)
+
+Для списків значень та пар ключів **найкращий** шлях по безпеці/продуктивності — **TVP** (table-valued parameters).
+
+### 1) `IN (...)` для кодів → `JOIN` на TVP
+
+Замість складання SQL-рядка:
+
+```javascript
+// ❌ НЕ МОЖНА: динамічний список у SQL
+await pool.request().query`
+  SELECT *
+  FROM promo.SomeTable t
+  WHERE t.ExternalCode IN (${codes.map(c => `'${c}'`).join(',')})
+`;
+```
+
+Роби TVP з 1 колонкою:
+
+- створити `new sql.Table()`
+- `columns.add('ExternalCode', sql.NVarChar(N))`
+- `rows.add(code)` після `trim()` + валідації
+- `request.input('codes', table)`
+- в SQL: `JOIN @codes c ON c.ExternalCode = t.ExternalCode`
+
+Плюси:
+
+- 0% SQL injection
+- текст SQL **не росте** від довжини масиву
+- SQL Server часто оптимізує `JOIN` краще, ніж гігантський `IN (...)`
+
+### 2) `DELETE ... VALUES (...)` / `MERGE ... VALUES (...)` → TVP з 2 колонками
+
+Замість генерації списку рядків `(...),(...),...` у SQL (навіть якщо воно “через tagged template”):
+
+- сформуй TVP-таблицю `@Pairs` з колонками:
+  - `PromoActivitiesId` (INT або BIGINT — як у схемі БД)
+  - `SupplierOutletId` (INT або BIGINT — як у схемі БД)
+
+Delete:
+
+```sql
+DELETE abi
+FROM promo.ActivitiesByOutlet abi
+JOIN @Pairs p
+  ON p.PromoActivitiesId = abi.PromoActivitiesId
+ AND p.SupplierOutletId = abi.SupplierOutletId;
+```
+
+Insert (без `MERGE`, простіше і безпечніше):
+
+```sql
+INSERT INTO promo.ActivitiesByOutlet (PromoActivitiesId, SupplierOutletId, Status)
+SELECT p.PromoActivitiesId, p.SupplierOutletId, 2
+FROM @Pairs p
+WHERE NOT EXISTS (
+  SELECT 1
+  FROM promo.ActivitiesByOutlet abi
+  WHERE abi.PromoActivitiesId = p.PromoActivitiesId
+    AND abi.SupplierOutletId = p.SupplierOutletId
+);
+```
+
+Плюси:
+
+- не збираєш SQL-рядок із даних
+- менше шансів упіймати edge-case `MERGE` (у SQL Server історично багато “сюрпризів”)
+
+## Мінімальна валідація перед наповненням TVP
+
+Навіть з TVP потрібно:
+
+- `ExternalCode`: `typeof === 'string'`, `trim()`, довжина `<= N` (під схему), відкинути пусті.
+- ліміт на кількість елементів (наприклад 5k/10k — залежить від вашого потоку).
+- `supplierId`/ID: число/BigInt, валідне та скінченне.
+
 Перевірка: `npx @nitra/cursor check js-mssql`.

package/mdc/vue.mdc

@@ -221,6 +221,47 @@ export default defineConfig({
 
 Потрібно використовувати vite-plugin-vue-layouts-next для автоматичного імпортування layout компонентів.
 
+## npm_lifecycle_event
+
+у більшості проектів в файлі vite.config.js 
+є  конструкція виду
+
+switch (process.env.npm_lifecycle_event) {
+  case 'start-remote-tr': {
+
+вона перестала працювати з новим Bun (і за цього не буде працювати bun start-remote-dev та інші)
+
+і тепер її нада обрамити в функцію, наприклад
+
+```javascript title="vite.config.js"
+function getProxy(mode) {
+  const proxy = {}
+
+  switch (mode) {
+    case 'remote-tr': {
+      proxy['^/auth/.*'] = 'https://tr.efes.cloud'
+      proxy['/file-link/'] = 'https://tr.efes.cloud'
+      break
+    }
+    default: {
+      proxy['^/auth/.*'] = 'https://dev.efes.cloud'
+      proxy['/file-link/'] = 'https://dev.efes.cloud'
+    }
+  }
+  return proxy
+}
+```
+
+і викликати всередині 
+
+```javascript title="vite.config.js"
+export default defineConfig(({ mode, command }) => {
+...
+   server: {
+      proxy: getProxy(mode)
+    }
+```
+
 ## Перевірка
 
 `npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, а також обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue`; дозволені лише type-only та side-effect `import 'vue'`. Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/scripts/utils/vue-forbidden-imports.mjs`).

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.141",
+  "version": "1.8.142",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-js-mssql.mjs

@@ -15,7 +15,9 @@ import { join, relative, sep } from 'node:path'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import {
   findMssqlPerRequestConnectionInText,
+  findSharedMssqlRequestInText,
   findUnsafeMssqlQueryTemplateCallInText,
+  findUnsafeMssqlDynamicSqlListInText,
   isMssqlScanSourceFile
 } from './utils/mssql-pool-scan.mjs'
 import { walkDir } from './utils/walkDir.mjs'
@@ -172,7 +174,9 @@ export async function check() {
     }
 
     let violations = 0
+    let sharedRequestViolations = 0
     let unsafeQueryCalls = 0
+    let unsafeDynamicSqlLists = 0
     for (const absPath of sourcePaths) {
       const rel = relative(repoRoot, absPath).split('\\').join('/')
       const content = await readFile(absPath, 'utf8')
@@ -182,20 +186,38 @@ export async function check() {
           `js-mssql: ${rel}:${v.line} — не створюй new sql.ConnectionPool(...) на кожен запит; використовуй singleton sql.ConnectionPool: ${v.snippet}`
         )
       }
+      for (const v of findSharedMssqlRequestInText(content, rel)) {
+        sharedRequestViolations++
+        fail(
+          `js-mssql: ${rel}:${v.line} — заборонено шарити Request (наприклад export const request = pool.request()); створюй pool.request() щоразу заново (js-mssql.mdc): ${v.snippet}`
+        )
+      }
       for (const v of findUnsafeMssqlQueryTemplateCallInText(content, rel)) {
         unsafeQueryCalls++
         fail(
           `js-mssql: ${rel}:${v.line} — заборонено query(\`...\`): це не tagged template; використовуй pool.request().query\`...\` (js-mssql.mdc): ${v.snippet}`
         )
       }
+      for (const v of findUnsafeMssqlDynamicSqlListInText(content, rel)) {
+        unsafeDynamicSqlLists++
+        fail(
+          `js-mssql: ${rel}:${v.line} — заборонено підставляти у SQL динамічні списки через .join(',') (типово IN (...) / VALUES (...)); використовуй TVP (sql.Table) + JOIN/INSERT (js-mssql.mdc): ${v.snippet}`
+        )
+      }
     }
 
     if (violations === 0) {
       pass('js-mssql: немає створення new sql.ConnectionPool(...) всередині функцій (singleton pool)')
     }
+    if (sharedRequestViolations === 0) {
+      pass('js-mssql: немає shared Request (export const request = pool.request())')
+    }
     if (unsafeQueryCalls === 0) {
       pass('js-mssql: немає небезпечних викликів query(`...`) (потрібно query`...`)')
     }
+    if (unsafeDynamicSqlLists === 0) {
+      pass("js-mssql: немає небезпечних динамічних SQL-списків через .join(',') у IN/VALUES")
+    }
   }
 
   return reporter.getExitCode()

package/scripts/check-vue.mjs

@@ -4,6 +4,9 @@
  * Версії Vite та плагінів, vue-macros, auto-import, layouts, вміст `vite.config`;
  * у репозиторії — рекомендацію розширення Vue.volar.
  *
+ * У `vite.config.*` заборонено використовувати `process.env.npm_lifecycle_event` (Bun не підставляє його як npm),
+ * натомість використовуй `mode` з `defineConfig(({ mode }) => ...)`.
+ *
  * Заборонені явні value-імпорти з `vue` у джерелах пакета — сканування `.vue`/`.ts`/`.js` тощо
  * через **oxc-parser** (`module.staticImports`; див. `utils/vue-forbidden-imports.mjs`); дозволені лише type-only та side-effect `import 'vue'`.
  */
@@ -115,6 +118,13 @@ async function checkViteConfig(rootDir, prefix, passFn, fail) {
       fail(`${prefix}${err}`)
     }
   }
+
+  if (content.includes('process.env.npm_lifecycle_event')) {
+    fail(
+      `${prefix}${viteConfig} використовує process.env.npm_lifecycle_event — у Bun це не працює. ` +
+        `Перенеси логіку на mode (defineConfig(({ mode }) => ...)) і передавай mode в helper-функції.`
+    )
+  }
 }
 
 /**

package/scripts/utils/mssql-pool-scan.mjs

@@ -7,6 +7,12 @@
  * виклик з інтерполяцією рядка, який може призвести до SQL injection. Натомість має
  * використовуватись tagged template `query\`...\`` (див. js-mssql.mdc).
  *
+ * Додатково знаходить:
+ * - shared `Request` (наприклад `export const request = pool.request()`), який не можна
+ *   повторно використовувати між запитами.
+ * - небезпечні “динамічні списки” в SQL, коли в TemplateLiteral/TaggedTemplateExpression
+ *   підставляють рядки, зібрані через `.join(',')` (типово для `IN (...)` або `VALUES (...)`).
+ *
  * Семантика береться з **oxc-parser** по AST, щоб не покладатися на regex.
  * Якщо файл не парситься або містить синтаксичні помилки — повертаємо порожній
  * результат (спочатку треба полагодити синтаксис, потім перезапустити перевірку).
@@ -14,6 +20,7 @@
 import { parseSync } from 'oxc-parser'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
+const SQL_LIST_CONTEXT_RE = /\b(in|values)\b\s*\(/iu
 
 /**
  * Мова для Oxc за шляхом файлу (розширення).
@@ -134,6 +141,62 @@ function isUnsafeQueryCallWithTemplateLiteral(node) {
   return !!first && typeof first === 'object' && first.type === 'TemplateLiteral'
 }
 
+/**
+ * Чи це `something.request()` (наприклад `pool.request()`), яку не можна шарити між запитами.
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це CallExpression з `.request()`
+ */
+function isRequestFactoryCall(node) {
+  if (!node || node.type !== 'CallExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const prop = callee.property
+  return !!prop && prop.type === 'Identifier' && prop.name === 'request'
+}
+
+/**
+ * Чи це `.join(...)` виклик (часто використовується для динамічних списків в SQL).
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це CallExpression `*.join(...)`
+ */
+function isJoinCall(node) {
+  if (!node || node.type !== 'CallExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const prop = callee.property
+  return !!prop && prop.type === 'Identifier' && prop.name === 'join'
+}
+
+/**
+ * Повертає текст quasis у TemplateLiteral (без expressions).
+ * @param {unknown} template TemplateLiteral
+ * @returns {string} обʼєднаний текст
+ */
+function templateQuasisText(template) {
+  if (!template || template.type !== 'TemplateLiteral') return ''
+  const quasis = template.quasis
+  if (!Array.isArray(quasis) || quasis.length === 0) return ''
+  let out = ''
+  for (const q of quasis) {
+    if (!q || typeof q !== 'object') continue
+    const value = q.value
+    if (!value || typeof value !== 'object') continue
+    if (typeof value.raw === 'string') out += value.raw
+  }
+  return out
+}
+
+/**
+ * Чи виглядає TemplateLiteral як SQL-контекст зі списком (IN/VALUES (...)).
+ * @param {unknown} template TemplateLiteral
+ * @returns {boolean} true, якщо текст містить `IN (` або `VALUES (`
+ */
+function isSqlListContextTemplate(template) {
+  return SQL_LIST_CONTEXT_RE.test(templateQuasisText(template))
+}
+
 /**
  * Знаходить створення `ConnectionPool` всередині функцій.
  * @param {string} content вихідний код
@@ -197,6 +260,92 @@ export function findUnsafeMssqlQueryTemplateCallInText(content, virtualPath = 's
   return out
 }
 
+/**
+ * Знаходить shared Request (`export const request = pool.request()` та подібні), які не можна
+ * повторно використовувати між запитами.
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang`
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findSharedMssqlRequestInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+  walkAstWithAncestors(result.program, [], node => {
+    if (node.type !== 'VariableDeclarator') return
+    const id = node.id
+    const init = node.init
+    if (!id || id.type !== 'Identifier') return
+    if (id.name !== 'request') return
+    if (!init || typeof init !== 'object') return
+    if (!isRequestFactoryCall(init)) return
+
+    out.push({
+      line: offsetToLine(content, node.start),
+      snippet: normalizeSnippet(content.slice(node.start, node.end))
+    })
+  })
+  return out
+}
+
+/**
+ * Знаходить небезпечні динамічні списки в SQL, коли у TemplateLiteral/TaggedTemplateExpression
+ * підставляють рядки, зібрані через `.join(...)` у контексті `IN (...)` або `VALUES (...)`.
+ *
+ * Цей патерн небезпечний навіть якщо зовні використовується tagged template, бо в запит
+ * потрапляє “готовий шматок SQL”, а не параметризовані значення.
+ *
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang`
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findUnsafeMssqlDynamicSqlListInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+  walkAstWithAncestors(result.program, [], node => {
+    /** @type {unknown} */
+    let template = null
+
+    if (node.type === 'TemplateLiteral') {
+      template = node
+    } else if (node.type === 'TaggedTemplateExpression') {
+      template = node.quasi
+    }
+
+    if (!template || typeof template !== 'object' || template.type !== 'TemplateLiteral') return
+    if (!isSqlListContextTemplate(template)) return
+    const expressions = template.expressions
+    if (!Array.isArray(expressions) || expressions.length === 0) return
+
+    const hasJoin = expressions.some(expr => isJoinCall(expr))
+    if (!hasJoin) return
+
+    out.push({
+      line: offsetToLine(content, template.start),
+      snippet: normalizeSnippet(content.slice(template.start, template.end))
+    })
+  })
+
+  return out
+}
+
 /**
  * Чи сканувати цей файл за розширенням (JS/TS-сім'я).
  * @param {string} relativePathPosix відносний шлях (posix)