@nitra/cursor 1.8.141 → 1.8.143

package/mdc/docker.mdc

@@ -9,7 +9,7 @@ alwaysApply: false
 
 [hadolint](https://github.com/hadolint/hadolint) перевіряє Dockerfile на типові помилки та рекомендації (`FROM`, `RUN`, `COPY`, shell form тощо).
 
-Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginx`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/library/nginx`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
+Для образів з Docker Hub — **`oven/bun`**, **`alpine`**, **`nginxinc/nginx-unprivileged`**, **`node`** — у **`FROM`** треба вказувати дзеркало GCR, а не pull напряму з Hub: **`mirror.gcr.io/oven/bun`**, **`mirror.gcr.io/library/alpine`**, **`mirror.gcr.io/nginxinc/nginx-unprivileged`**, **`mirror.gcr.io/library/node`**. Перевіряє **`check-docker.mjs`**, деталі в **`npm/scripts/utils/docker-mirror.mjs`**.
 
 Також Dockerfile/Containerfile **має бути multistage build**: окремий build stage (залежності/компіляція) і окремий runtime stage. У фінальному stage дозволені лише мінімальні базові образи:
 
@@ -17,13 +17,13 @@ alwaysApply: false
 - **ультра-легкі (glibc / одна статична збірка)**: `scratch` — тільки як `FROM scratch` (офіційний порожній базовий шар), коли весь **runtime** уже в `COPY --from=…`
 - **glibc, Debian (slim)**: `mirror.gcr.io/library/debian:*` **лише** з тегом, у якому є `slim` (наприклад `bookworm-slim`, `trixie-slim`), а не `bookworm` без `slim`
 - **виняток (інтерпретовані стеки)**: `mirror.gcr.io/library/php:*` або `mirror.gcr.io/library/python:*` — якщо сервіс має крутитися в офіційному runtime PHP чи Python, а не як один бінарник на Alpine; інакше лишай **alpine** у фінальному stage
-- **frontend**: `mirror.gcr.io/library/nginx:*` або `mirror.gcr.io/openresty/openresty:*`
+- **frontend**: `mirror.gcr.io/nginxinc/nginx-unprivileged:*` або `mirror.gcr.io/openresty/openresty:*`
 
 Це стримує зайвий build tooling (Bun, **node_modules** зі збірки) у фінальному образі; для **alpine** / **nginx** / **openresty** у **runtime** лишаються лише відповідні вимоги, для **php** / **python** (виняток) — цільовий інтерпретований **stack**; **scratch** і **debian** з тегом **`*slim*`** — коли glibc і мінімальне оточення Debian важливіші за musl в **alpine**.
 
 ## Мінімальні образи
 
-Якщо використовується nginx, то намагайся щоб тег був `alpine-slim`
+Якщо використовується nginx, то **використовуй** `mirror.gcr.io/nginxinc/nginx-unprivileged:alpine-slim` (і не `latest` / `alpine`).
 
 ## компіляція
 

package/mdc/js-mssql.mdc

@@ -4,11 +4,18 @@ alwaysApply: true
 version: '1.1'
 ---
 
-Якщо в проекті в будь-якому `package.json` в секції `dependencies` присутній пакет **`mssql`**,
-то його версія повинна бути не менше **12.5.0**.
+## Підтримувана версія SQL Server
+
+Правило орієнтоване на **SQL Server 2019**.
+
+## Версія пакета `mssql`
+
+Якщо в проекті в будь-якому `package.json` в секції `dependencies` присутній пакет **`mssql`**, то його версія повинна бути не менше **12.5.0**.
 
 Потрібно використовувати connection pool (sql.ConnectionPool) як singleton, а НЕ створювати підключення на кожен запит.
 
+## Як виконувати запити (безпечно)
+
 tagged template треба викликати на request-обʼєкті цього пулу:
 ```javascript
 javascript// db.js
@@ -46,7 +53,10 @@ const result = await pool.request().query`
 
 Ключове: pool.request().query\...`— бекті́ки післяquery`, без круглих дужок. Це той самий tagged template, тільки контекст — конкретний пул, а не глобальний.
 
-Що НЕ робити
+## Що НЕ робити
+
+### Не робити `query(\`...\`)`
+
 javascript// ❌ Це не tagged template — це конкатенація рядка перед викликом
 ```javascript
 await pool.request().query(`SELECT * FROM users WHERE id = ${userId}`);
@@ -56,4 +66,98 @@ await pool.request().query(`SELECT * FROM users WHERE id = ${userId}`);
 Різниця між query\...`іquery(`...`)` — критична. Перше безпечне, друге — діра.
 Потрібно використовувати перше. Потрібно шукати в коді друге і заміняти на перше.
 
+### Не шарити `Request` між запитами
+
+Заборонено робити singleton `request` на рівні модуля на кшталт:
+
+```javascript
+// ❌ НЕ МОЖНА
+export const request = pool.request();
+```
+
+`Request` має створюватися **щоразу заново**:
+
+```javascript
+// ✅ МОЖНА
+const request = pool.request();
+```
+
+Це особливо важливо для **TVP** (табличні параметри) та будь-яких `.input(...)`.
+
+## TVP дозволений і рекомендований (SQL Server 2019)
+
+Для списків значень та пар ключів **найкращий** шлях по безпеці/продуктивності — **TVP** (table-valued parameters).
+
+### 1) `IN (...)` для кодів → `JOIN` на TVP
+
+Замість складання SQL-рядка:
+
+```javascript
+// ❌ НЕ МОЖНА: динамічний список у SQL
+await pool.request().query`
+  SELECT *
+  FROM promo.SomeTable t
+  WHERE t.ExternalCode IN (${codes.map(c => `'${c}'`).join(',')})
+`;
+```
+
+Роби TVP з 1 колонкою:
+
+- створити `new sql.Table()`
+- `columns.add('ExternalCode', sql.NVarChar(N))`
+- `rows.add(code)` після `trim()` + валідації
+- `request.input('codes', table)`
+- в SQL: `JOIN @codes c ON c.ExternalCode = t.ExternalCode`
+
+Плюси:
+
+- 0% SQL injection
+- текст SQL **не росте** від довжини масиву
+- SQL Server часто оптимізує `JOIN` краще, ніж гігантський `IN (...)`
+
+### 2) `DELETE ... VALUES (...)` / `MERGE ... VALUES (...)` → TVP з 2 колонками
+
+Замість генерації списку рядків `(...),(...),...` у SQL (навіть якщо воно “через tagged template”):
+
+- сформуй TVP-таблицю `@Pairs` з колонками:
+  - `PromoActivitiesId` (INT або BIGINT — як у схемі БД)
+  - `SupplierOutletId` (INT або BIGINT — як у схемі БД)
+
+Delete:
+
+```sql
+DELETE abi
+FROM promo.ActivitiesByOutlet abi
+JOIN @Pairs p
+  ON p.PromoActivitiesId = abi.PromoActivitiesId
+ AND p.SupplierOutletId = abi.SupplierOutletId;
+```
+
+Insert (без `MERGE`, простіше і безпечніше):
+
+```sql
+INSERT INTO promo.ActivitiesByOutlet (PromoActivitiesId, SupplierOutletId, Status)
+SELECT p.PromoActivitiesId, p.SupplierOutletId, 2
+FROM @Pairs p
+WHERE NOT EXISTS (
+  SELECT 1
+  FROM promo.ActivitiesByOutlet abi
+  WHERE abi.PromoActivitiesId = p.PromoActivitiesId
+    AND abi.SupplierOutletId = p.SupplierOutletId
+);
+```
+
+Плюси:
+
+- не збираєш SQL-рядок із даних
+- менше шансів упіймати edge-case `MERGE` (у SQL Server історично багато “сюрпризів”)
+
+## Мінімальна валідація перед наповненням TVP
+
+Навіть з TVP потрібно:
+
+- `ExternalCode`: `typeof === 'string'`, `trim()`, довжина `<= N` (під схему), відкинути пусті.
+- ліміт на кількість елементів (наприклад 5k/10k — залежить від вашого потоку).
+- `supplierId`/ID: число/BigInt, валідне та скінченне.
+
 Перевірка: `npx @nitra/cursor check js-mssql`.

package/mdc/vue.mdc

@@ -221,6 +221,47 @@ export default defineConfig({
 
 Потрібно використовувати vite-plugin-vue-layouts-next для автоматичного імпортування layout компонентів.
 
+## npm_lifecycle_event
+
+у більшості проектів в файлі vite.config.js 
+є  конструкція виду
+
+switch (process.env.npm_lifecycle_event) {
+  case 'start-remote-tr': {
+
+вона перестала працювати з новим Bun (і за цього не буде працювати bun start-remote-dev та інші)
+
+і тепер її нада обрамити в функцію, наприклад
+
+```javascript title="vite.config.js"
+function getProxy(mode) {
+  const proxy = {}
+
+  switch (mode) {
+    case 'remote-tr': {
+      proxy['^/auth/.*'] = 'https://tr.efes.cloud'
+      proxy['/file-link/'] = 'https://tr.efes.cloud'
+      break
+    }
+    default: {
+      proxy['^/auth/.*'] = 'https://dev.efes.cloud'
+      proxy['/file-link/'] = 'https://dev.efes.cloud'
+    }
+  }
+  return proxy
+}
+```
+
+і викликати всередині 
+
+```javascript title="vite.config.js"
+export default defineConfig(({ mode, command }) => {
+...
+   server: {
+      proxy: getProxy(mode)
+    }
+```
+
 ## Перевірка
 
 `npx @nitra/cursor check vue` — перевіряє залежності, `vite.config`, а також обходить джерела Vue-пакета (`.vue`, `.ts`, `.js` тощо) на заборонені value-імпорти з модуля `vue`; дозволені лише type-only та side-effect `import 'vue'`. Імпорти аналізуються через **oxc-parser** (`module.staticImports`); для `.vue` вміст `<script>` витягується з SFC, далі той самий парсер (логіка в `npm/scripts/utils/vue-forbidden-imports.mjs`).

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.141",
+  "version": "1.8.143",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-docker.mjs

@@ -9,8 +9,7 @@
  * - backend: `mirror.gcr.io/library/alpine:*`, `scratch`, `mirror.gcr.io/library/debian:` з тегом, що
  *   містить `slim` (не повний `debian:bookworm`), за винятком PHP/Python — `mirror.gcr.io/library/php:*` або
  *   `mirror.gcr.io/library/python:*`
- * - frontend: `mirror.gcr.io/nginxinc/nginx-unprivileged:*` (preferred) або `mirror.gcr.io/library/nginx:*`,
- *   `mirror.gcr.io/openresty/openresty:*`
+ * - frontend: `mirror.gcr.io/nginxinc/nginx-unprivileged:*`, `mirror.gcr.io/openresty/openresty:*`
  *
  * Якщо в Dockerfile є крок `bun install` і це не frontend-образ (фінальний stage — alpine),
  * то очікується компіляція в один бінарник через `bun build --compile` у build stage, а у
@@ -19,8 +18,8 @@
  * Мета — щоб у фінальному образі не було build tooling (Bun/Node та залежностей), а лише
  * дозволений runtime (alpine, scratch, debian slim, за потреби php/python, nginx або openresty).
  *
- * Для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged`, `mirror.gcr.io/library/nginx`) у
- * будь-якому `FROM` очікується тег `alpine-slim` (docker.mdc: мінімальні образи), не `latest` /
+ * Для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged`) у будь-якому `FROM` очікується
+ * тег `alpine-slim` (docker.mdc: мінімальні образи), не `latest` /
  * `alpine` / інші. `nginx-unprivileged` запускається від не-root користувача (uid=101) без явного
  * `USER` у Dockerfile — перевірка non-root для нього пропускається.
  *
@@ -42,7 +41,6 @@ const BUN_BUILD_COMPILE_RE = /\bbun\s+build\b[^\n]*\s--compile\b/iu
 const BUN_WORD_RE = /\bbun\b/iu
 const USER_LINE_RE = /^\s*USER\s+([^\s#]+)/iu
 
-const NGINX_MIRROR_PREFIX = 'mirror.gcr.io/library/nginx'
 const NGINX_UNPRIVILEGED_MIRROR_PREFIX = 'mirror.gcr.io/nginxinc/nginx-unprivileged'
 
 /**
@@ -97,7 +95,6 @@ const RUNTIME_IMAGES = /** @type {const} */ ([
   'mirror.gcr.io/library/alpine',
   'mirror.gcr.io/library/php',
   'mirror.gcr.io/library/python',
-  'mirror.gcr.io/library/nginx',
   'mirror.gcr.io/nginxinc/nginx-unprivileged',
   'mirror.gcr.io/openresty/openresty'
 ])
@@ -179,7 +176,6 @@ export function getMultistageAndRuntimeHint(fileContent) {
  * Очікування:
  * - у build stage є `bun build --compile`;
  * - у фінальному stage немає викликів `bun` (залишків build tooling).
- *
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
@@ -194,7 +190,6 @@ export function getBunCompileHint(fileContent) {
   const hasBunInstall = BUN_INSTALL_RE.test(fileContent)
   const isFinalAlpine = lastLower.startsWith('mirror.gcr.io/library/alpine:')
   const isFinalFrontend =
-    lastLower.startsWith('mirror.gcr.io/library/nginx:') ||
     lastLower.startsWith(`${NGINX_UNPRIVILEGED_MIRROR_PREFIX}:`) ||
     lastLower.startsWith('mirror.gcr.io/openresty/openresty:')
 
@@ -216,14 +211,13 @@ export function getBunCompileHint(fileContent) {
 }
 
 /**
- * Перевіряє, що для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged` або
- * `mirror.gcr.io/library/nginx`) у `FROM` вказано тег `alpine-slim` (docker.mdc).
- *
+ * Перевіряє, що для nginx-образів (`mirror.gcr.io/nginxinc/nginx-unprivileged`) у `FROM` вказано
+ * тег `alpine-slim` (docker.mdc).
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
 export function getNginxAlpineSlimTagHint(fileContent) {
-  const prefixes = [NGINX_UNPRIVILEGED_MIRROR_PREFIX, NGINX_MIRROR_PREFIX]
+  const prefixes = [NGINX_UNPRIVILEGED_MIRROR_PREFIX]
   for (const { line, image } of parseFromStages(fileContent)) {
     const noDigest = (image.split('@')[0] || '').trim()
     const d = noDigest.toLowerCase()
@@ -247,7 +241,6 @@ export function getNginxAlpineSlimTagHint(fileContent) {
  * Очікування:
  * - у фінальному stage має бути інструкція `USER <name|uid>`;
  * - користувач не має бути `root` і не має бути `0`.
- *
  * @param {string} fileContent вміст Dockerfile/Containerfile
  * @returns {string | null} повідомлення помилки або null
  */
@@ -289,7 +282,7 @@ export function getNonRootRuntimeHint(fileContent) {
  */
 export async function check() {
   const reporter = createCheckReporter()
-  const { pass, fail } = reporter
+  const { pass } = reporter
 
   const root = process.cwd()
   const files = await findDockerfilePaths(root)
@@ -302,42 +295,45 @@ export async function check() {
   pass(`Знайдено файлів для hadolint: ${files.length}`)
 
   for (const abs of files) {
-    const rel = posixRel(root, abs) || basename(abs)
-    const content = await readFile(abs, 'utf8')
-    const hint = getMirrorGcrHint(content)
-    if (hint) {
-      fail(`${rel} (mirror.gcr.io): ${hint}`)
-    }
+    await checkDockerfile(reporter, root, abs)
+  }
 
-    const multistageHint = getMultistageAndRuntimeHint(content)
-    if (multistageHint) {
-      fail(`${rel} (multistage): ${multistageHint}`)
-    }
+  return reporter.getExitCode()
+}
 
-    const compileHint = getBunCompileHint(content)
-    if (compileHint) {
-      fail(`${rel} (compile): ${compileHint}`)
-    }
+/**
+ * Перевіряє один Dockerfile/Containerfile: mirror.gcr.io, multistage/runtime, compile/non-root/nginx tag і hadolint.
+ * @param {ReturnType<typeof createCheckReporter>} reporter репортер перевірок
+ * @param {string} root корінь репозиторію
+ * @param {string} abs абсолютний шлях до Dockerfile/Containerfile
+ * @returns {Promise<void>}
+ */
+async function checkDockerfile(reporter, root, abs) {
+  const { pass, fail } = reporter
+  const rel = posixRel(root, abs) || basename(abs)
+  const content = await readFile(abs, 'utf8')
 
-    const nonRootHint = getNonRootRuntimeHint(content)
-    if (nonRootHint) {
-      fail(`${rel} (non-root): ${nonRootHint}`)
-    }
+  const hint = getMirrorGcrHint(content)
+  if (hint) fail(`${rel} (mirror.gcr.io): ${hint}`)
 
-    const nginxSlimHint = getNginxAlpineSlimTagHint(content)
-    if (nginxSlimHint) {
-      fail(`${rel} (nginx tag): ${nginxSlimHint}`)
-    }
+  const multistageHint = getMultistageAndRuntimeHint(content)
+  if (multistageHint) fail(`${rel} (multistage): ${multistageHint}`)
 
-    const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
-    const tail = (stdout + stderr).trim()
-    if (ok) {
-      pass(`${rel} (${via})`)
-    } else {
-      const detail = tail ? `:\n${tail}` : ''
-      fail(`${rel} (${via})${detail}`)
-    }
-  }
+  const compileHint = getBunCompileHint(content)
+  if (compileHint) fail(`${rel} (compile): ${compileHint}`)
 
-  return reporter.getExitCode()
+  const nonRootHint = getNonRootRuntimeHint(content)
+  if (nonRootHint) fail(`${rel} (non-root): ${nonRootHint}`)
+
+  const nginxSlimHint = getNginxAlpineSlimTagHint(content)
+  if (nginxSlimHint) fail(`${rel} (nginx tag): ${nginxSlimHint}`)
+
+  const { ok, stdout, stderr, via } = lintDockerfileWithHadolint(root, abs)
+  const tail = (stdout + stderr).trim()
+  if (ok) {
+    pass(`${rel} (${via})`)
+  } else {
+    const detail = tail ? `:\n${tail}` : ''
+    fail(`${rel} (${via})${detail}`)
+  }
 }

package/scripts/check-js-mssql.mjs

@@ -15,7 +15,9 @@ import { join, relative, sep } from 'node:path'
 import { createCheckReporter } from './utils/check-reporter.mjs'
 import {
   findMssqlPerRequestConnectionInText,
+  findSharedMssqlRequestInText,
   findUnsafeMssqlQueryTemplateCallInText,
+  findUnsafeMssqlDynamicSqlListInText,
   isMssqlScanSourceFile
 } from './utils/mssql-pool-scan.mjs'
 import { walkDir } from './utils/walkDir.mjs'
@@ -172,7 +174,9 @@ export async function check() {
     }
 
     let violations = 0
+    let sharedRequestViolations = 0
     let unsafeQueryCalls = 0
+    let unsafeDynamicSqlLists = 0
     for (const absPath of sourcePaths) {
       const rel = relative(repoRoot, absPath).split('\\').join('/')
       const content = await readFile(absPath, 'utf8')
@@ -182,20 +186,38 @@ export async function check() {
           `js-mssql: ${rel}:${v.line} — не створюй new sql.ConnectionPool(...) на кожен запит; використовуй singleton sql.ConnectionPool: ${v.snippet}`
         )
       }
+      for (const v of findSharedMssqlRequestInText(content, rel)) {
+        sharedRequestViolations++
+        fail(
+          `js-mssql: ${rel}:${v.line} — заборонено шарити Request (наприклад export const request = pool.request()); створюй pool.request() щоразу заново (js-mssql.mdc): ${v.snippet}`
+        )
+      }
       for (const v of findUnsafeMssqlQueryTemplateCallInText(content, rel)) {
         unsafeQueryCalls++
         fail(
           `js-mssql: ${rel}:${v.line} — заборонено query(\`...\`): це не tagged template; використовуй pool.request().query\`...\` (js-mssql.mdc): ${v.snippet}`
         )
       }
+      for (const v of findUnsafeMssqlDynamicSqlListInText(content, rel)) {
+        unsafeDynamicSqlLists++
+        fail(
+          `js-mssql: ${rel}:${v.line} — заборонено підставляти у SQL динамічні списки через .join(',') (типово IN (...) / VALUES (...)); використовуй TVP (sql.Table) + JOIN/INSERT (js-mssql.mdc): ${v.snippet}`
+        )
+      }
     }
 
     if (violations === 0) {
       pass('js-mssql: немає створення new sql.ConnectionPool(...) всередині функцій (singleton pool)')
     }
+    if (sharedRequestViolations === 0) {
+      pass('js-mssql: немає shared Request (export const request = pool.request())')
+    }
     if (unsafeQueryCalls === 0) {
       pass('js-mssql: немає небезпечних викликів query(`...`) (потрібно query`...`)')
     }
+    if (unsafeDynamicSqlLists === 0) {
+      pass("js-mssql: немає небезпечних динамічних SQL-списків через .join(',') у IN/VALUES")
+    }
   }
 
   return reporter.getExitCode()

package/scripts/check-vue.mjs

@@ -4,6 +4,9 @@
  * Версії Vite та плагінів, vue-macros, auto-import, layouts, вміст `vite.config`;
  * у репозиторії — рекомендацію розширення Vue.volar.
  *
+ * У `vite.config.*` заборонено використовувати `process.env.npm_lifecycle_event` (Bun не підставляє його як npm),
+ * натомість використовуй `mode` з `defineConfig(({ mode }) => ...)`.
+ *
  * Заборонені явні value-імпорти з `vue` у джерелах пакета — сканування `.vue`/`.ts`/`.js` тощо
  * через **oxc-parser** (`module.staticImports`; див. `utils/vue-forbidden-imports.mjs`); дозволені лише type-only та side-effect `import 'vue'`.
  */
@@ -115,6 +118,13 @@ async function checkViteConfig(rootDir, prefix, passFn, fail) {
       fail(`${prefix}${err}`)
     }
   }
+
+  if (content.includes('process.env.npm_lifecycle_event')) {
+    fail(
+      `${prefix}${viteConfig} використовує process.env.npm_lifecycle_event — у Bun це не працює. ` +
+        `Перенеси логіку на mode (defineConfig(({ mode }) => ...)) і передавай mode в helper-функції.`
+    )
+  }
 }
 
 /**

package/scripts/utils/mssql-pool-scan.mjs

@@ -7,6 +7,12 @@
  * виклик з інтерполяцією рядка, який може призвести до SQL injection. Натомість має
  * використовуватись tagged template `query\`...\`` (див. js-mssql.mdc).
  *
+ * Додатково знаходить:
+ * - shared `Request` (наприклад `export const request = pool.request()`), який не можна
+ *   повторно використовувати між запитами.
+ * - небезпечні “динамічні списки” в SQL, коли в TemplateLiteral/TaggedTemplateExpression
+ *   підставляють рядки, зібрані через `.join(',')` (типово для `IN (...)` або `VALUES (...)`).
+ *
  * Семантика береться з **oxc-parser** по AST, щоб не покладатися на regex.
  * Якщо файл не парситься або містить синтаксичні помилки — повертаємо порожній
  * результат (спочатку треба полагодити синтаксис, потім перезапустити перевірку).
@@ -14,6 +20,7 @@
 import { parseSync } from 'oxc-parser'
 
 const SOURCE_FILE_RE = /\.([cm]?[jt]sx?)$/
+const SQL_LIST_CONTEXT_RE = /\b(in|values)\b\s*\(/iu
 
 /**
  * Мова для Oxc за шляхом файлу (розширення).
@@ -134,6 +141,62 @@ function isUnsafeQueryCallWithTemplateLiteral(node) {
   return !!first && typeof first === 'object' && first.type === 'TemplateLiteral'
 }
 
+/**
+ * Чи це `something.request()` (наприклад `pool.request()`), яку не можна шарити між запитами.
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це CallExpression з `.request()`
+ */
+function isRequestFactoryCall(node) {
+  if (!node || node.type !== 'CallExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const prop = callee.property
+  return !!prop && prop.type === 'Identifier' && prop.name === 'request'
+}
+
+/**
+ * Чи це `.join(...)` виклик (часто використовується для динамічних списків в SQL).
+ * @param {unknown} node AST node
+ * @returns {boolean} true, якщо це CallExpression `*.join(...)`
+ */
+function isJoinCall(node) {
+  if (!node || node.type !== 'CallExpression') return false
+  const callee = node.callee
+  if (!callee || callee.type !== 'MemberExpression') return false
+  if (callee.computed) return false
+  const prop = callee.property
+  return !!prop && prop.type === 'Identifier' && prop.name === 'join'
+}
+
+/**
+ * Повертає текст quasis у TemplateLiteral (без expressions).
+ * @param {unknown} template TemplateLiteral
+ * @returns {string} обʼєднаний текст
+ */
+function templateQuasisText(template) {
+  if (!template || template.type !== 'TemplateLiteral') return ''
+  const quasis = template.quasis
+  if (!Array.isArray(quasis) || quasis.length === 0) return ''
+  let out = ''
+  for (const q of quasis) {
+    if (!q || typeof q !== 'object') continue
+    const value = q.value
+    if (!value || typeof value !== 'object') continue
+    if (typeof value.raw === 'string') out += value.raw
+  }
+  return out
+}
+
+/**
+ * Чи виглядає TemplateLiteral як SQL-контекст зі списком (IN/VALUES (...)).
+ * @param {unknown} template TemplateLiteral
+ * @returns {boolean} true, якщо текст містить `IN (` або `VALUES (`
+ */
+function isSqlListContextTemplate(template) {
+  return SQL_LIST_CONTEXT_RE.test(templateQuasisText(template))
+}
+
 /**
  * Знаходить створення `ConnectionPool` всередині функцій.
  * @param {string} content вихідний код
@@ -197,6 +260,92 @@ export function findUnsafeMssqlQueryTemplateCallInText(content, virtualPath = 's
   return out
 }
 
+/**
+ * Знаходить shared Request (`export const request = pool.request()` та подібні), які не можна
+ * повторно використовувати між запитами.
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang`
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findSharedMssqlRequestInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+  walkAstWithAncestors(result.program, [], node => {
+    if (node.type !== 'VariableDeclarator') return
+    const id = node.id
+    const init = node.init
+    if (!id || id.type !== 'Identifier') return
+    if (id.name !== 'request') return
+    if (!init || typeof init !== 'object') return
+    if (!isRequestFactoryCall(init)) return
+
+    out.push({
+      line: offsetToLine(content, node.start),
+      snippet: normalizeSnippet(content.slice(node.start, node.end))
+    })
+  })
+  return out
+}
+
+/**
+ * Знаходить небезпечні динамічні списки в SQL, коли у TemplateLiteral/TaggedTemplateExpression
+ * підставляють рядки, зібрані через `.join(...)` у контексті `IN (...)` або `VALUES (...)`.
+ *
+ * Цей патерн небезпечний навіть якщо зовні використовується tagged template, бо в запит
+ * потрапляє “готовий шматок SQL”, а не параметризовані значення.
+ *
+ * @param {string} content вихідний код
+ * @param {string} [virtualPath] шлях для вибору `lang`
+ * @returns {{ line: number, snippet: string }[]} список порушень
+ */
+export function findUnsafeMssqlDynamicSqlListInText(content, virtualPath = 'scan.ts') {
+  const lang = langFromPath(virtualPath || 'scan.ts')
+  let result
+  try {
+    result = parseSync(virtualPath, content, { lang, sourceType: 'module' })
+  } catch {
+    return []
+  }
+  if (result.errors?.length) return []
+
+  /** @type {{ line: number, snippet: string }[]} */
+  const out = []
+  walkAstWithAncestors(result.program, [], node => {
+    /** @type {unknown} */
+    let template = null
+
+    if (node.type === 'TemplateLiteral') {
+      template = node
+    } else if (node.type === 'TaggedTemplateExpression') {
+      template = node.quasi
+    }
+
+    if (!template || typeof template !== 'object' || template.type !== 'TemplateLiteral') return
+    if (!isSqlListContextTemplate(template)) return
+    const expressions = template.expressions
+    if (!Array.isArray(expressions) || expressions.length === 0) return
+
+    const hasJoin = expressions.some(expr => isJoinCall(expr))
+    if (!hasJoin) return
+
+    out.push({
+      line: offsetToLine(content, template.start),
+      snippet: normalizeSnippet(content.slice(template.start, template.end))
+    })
+  })
+
+  return out
+}
+
 /**
  * Чи сканувати цей файл за розширенням (JS/TS-сім'я).
  * @param {string} relativePathPosix відносний шлях (posix)