SPRING MVC IL PROGETTO PER MYSQL

SICUREZZA DELLE STORE PROCEDURE I RISCHI DEL SQL INJECTION

La flessibilità e la facilità delle store procedure si paga in termini di sicurezza. Abbiamo creato un sistema flessibile e dinamico ma che ci espone a quello che si chiama Sql Injection, una tecnica di attacco hacker molto temuta. Uno dei modi per ridurre questo rischio è quello di diminuire il numero di parametri che vengono passati. Un altro modo per evitare codice dannoso è quello di ridurre al minimo i permessi dell’utente che utilizza la Store Procedure. Quando abbiamo impostato l’utente che accede al database abbiamo dato i permessi di db_owner, questo va bene per un corso didattico, ma da evitare assolutamente quando vi è un’applicazione in produzione. db_owner significa in pratica che quell’utente è il proprietario del database, quindi può fare qualsiasi cosa. Per ridurre i rischi si potrebbero assegnare i permessi di db_datareader per la lettura e db_datawriter se deve modificare i dati. Purtroppo, così facendo l’utente non avrebbe il permesso di eseguire le store procedure.

LIMITARE IL RISCHIO DELLA SQL INJECTION

Per aumentare la sicurezza delle nostre Store Procedure si può creare una funzione scalare che in qualche modo faccia il parsing dei valori passati nei parametri ed elimini tutti i caratteri potenzialmente dannosi. La funzione utilizza l’istruzione di SQL Server REPLACE. La SP di selezione articoli utilizza questa funzione nei parametri @filter e @orderby e pulisce in qualche modo i valori passati da tutti quei caratteri considerati dannosi per la sicurezza prima che i parametri vengano utilizzati.

Copy to Clipboard

SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO

ALTER PROC [dbo].[Sp_SelArticoli]

@Filter varchar(30),
@OrderBy varchar(30) = 'CODART',
@Tipo varchar(5) = '',
@IdList varchar(4) = '1'

AS
/*--utilizzo della funzione per pulire eventuali caratteri 
    di SQL Injection*/
  
SET @Filter =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@Filter))); 
SET @OrderBy =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@OrderBy)));

-- SQL DINAMICO
DECLARE @SQL NVARCHAR(4000);
DECLARE @ISCODART NCHAR(2) = 'No';

IF LEN(@Filter) > 0 AND (SELECT COUNT(*) FROM ARTICOLI WHERE CODART = @Filter) > 0
	SET @ISCODART = 'Si'
ELSE IF LEN(@Filter) > 0 AND ISNUMERIC(@Filter) = 0
	SET @ISCODART = 'No'
ELSE 
	SET @ISCODART = ''

SET @SQL = '
SELECT
ROW_NUMBER() OVER (ORDER BY ' + @OrderBy + ' ' + @Tipo + ') as RIGA,
A.CODART,
A.DESCRIZIONE,
ISNULL(AA.PREZZO, 0) AS PREZZO,
CASE WHEN ISNULL(A.PESONETTO,0) > 0 THEN ROUND(ISNULL(AA.PREZZO, 0) / ISNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
A.UM,
ISNULL(A.CODSTAT,'''') AS CODSTAT,
ISNULL(A.PZCART,0) AS PZCART,
ISNULL(A.PESONETTO,0) AS PESONETTO,
ISNULL(BB.Magazzino,0) AS QTAMAG,
A.IDIVA,
A.IDSTATOART,
A.DATACREAZIONE,
A.IDFAMASS,
B.FAMASS
FROM dbo.ARTICOLI A
LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM [dbo].[FAMASSORT]) B ON A.IDFAMASS = B.ID 
LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM [dbo].[DETTLISTINI] WHERE IdList = ' + @IdList + ') AA ON A.CODART = AA.CODICE 
LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM [dbo].[MOVIMENTI]) BB ON A.CODART = BB.CODICE ';

IF @ISCODART = 'Si'
	SET @SQL = @SQL + ' WHERE A.CODART = ''' + @Filter + '''';
ELSE IF @ISCODART = 'No'
	SET @SQL = @SQL + ' WHERE A.DESCRIZIONE LIKE ''%' + @Filter + '%''';

IF @OrderBy != ''
BEGIN
	SET @SQL = @SQL + ' ORDER BY ' + @OrderBy + ' ' + @Tipo;
END

PRINT @SQL

-- ESEGUI SQL
EXEC sp_executesql @SQL; 
GO

IL METODO DI ELIMINAZIONE ARTICOLO

L’implementazione della cancellazione di un articolo la faremo dopo che è stata costruita la pagina JSP per l’inserimento. Se non vogliamo incorrere nella Sql Injection non dobbiamo usare stringhe concatenate ma i parametri. Vediamo una semplice soluzione che utilizza i parametri. Il punto interrogativo è un parametro e non è sottoposto a Sql Injection.

MYSQL MODIFICHE AL PROGETTO ALPHASHOP

Vediamo quali sono le principali modifiche da apportare al progetto AlphaShop su DBMS MySQL. Apriamo il file pom.xml, la modifica principale consiste nell’introdurre il driver per MySQL.

Il resto delle dipendenze rimane invariato. Ora andiamo nel file application.properties e modifichiamolo come segue. Tale file o meglio l’url fa riferimento alla mia macchina su cui ho installato MySQL in ascolto sulla porta 3306.

CREAZIONE DI UN UTENTE CON PERMESSI MINIMI IN MYSQL

Ora con un breve video ti mostro come creare l’utente WebClient in MySqlWorkbench. Come vedrai assegnerò a questo nuovo utente permessi minimi. Operazioni CRUD ed esecuzione Store Procedure. Se hai bisogno di altri permessi entra con l’utente root e assegna ulteriori permessi.

Un’altra importante differenza riguarda lo strato di persistenza, abbiamo un solo metodo di selezione in quanto l’order by è stato implementato a livello di servizio usando le lambda infatti MySQL non supporta le query dinamiche.

Vediamo a livello di repository come è stata implementata l’interfaccia.

In MySQL i caratteri sono case-sensitive, infatti nel metodo di eliminazione la tabella si chiama articoli tutto minuscolo, avremmo avuto dei problemi se lasciavamo il nome di tabella in maiuscolo. Abbiamo usato codice T-SQL direttamente nel codice parametrizzando con il punto interrogativo il codice articolo per prevenire la Sql Injection. Vediamo lo strato di servizio, in questo caso nell’interfaccia abbiamo i due metodi di selezione in quanto come già detto l’ordinamento è implementato tramite lambda.

Vediamo una parte di codice di implementazione dell’interfaccia.

CREAZIONE DELLA STORE PROCEDURE DI SELEZIONE ARTICOLI

La logica l’abbiamo già vista per SQL Server, cambia un pò la sintassi. Riporto il codice.

Copy to Clipboard

CREATE DEFINER=`WebClient`@`localhost` PROCEDURE `Sp_SelArt`(
	 v_filtro varchar(50),
     v_listino smallint 
     
)
BEGIN

SET @row_number = 0;

END

DOWNLOAD CODICE DELL’ARTICOLO

AlphaShopV2

AlphaShopV3

Il progetto AlphaShopV2.zip è per il DBMS SQL Server mentre AlphaShopV3.zip è per MySQL. Sotto ti riporto le Store Procedure da modificare, prima quelle per SQL Server poi quelle per MySQL.

IL LINGUAGGIO JAVA

LINK AI POST PRECEDENTI

SPRING FRAMEWORK

Copy to Clipboard

SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO

ALTER PROC [dbo].[Sp_SelArticoli]

@Filter varchar(30),
@IdList varchar(4) = '1',
@OrderBy varchar(30) = 'CODART',
@Tipo varchar(5) = ''

IF (@IdList = -1)
BEGIN
SET @Filter =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@Filter))); 
SET @OrderBy =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@OrderBy)));

-- SQL DINAMICO
DECLARE @SQL NVARCHAR(4000);
DECLARE @ISCODART NCHAR(2) = 'No';

SET @SQL = '
SELECT
ROW_NUMBER() OVER (ORDER BY ' + @OrderBy + ' ' + @Tipo + ') as RIGA,
A.CODART,
A.DESCRIZIONE,
ISNULL(AA.PREZZO, 0) AS PREZZO,
CASE WHEN ISNULL(A.PESONETTO,0) > 0 THEN ROUND(ISNULL(AA.PREZZO, 0) / ISNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
A.UM,
ISNULL(A.CODSTAT,'''') AS CODSTAT,
ISNULL(A.PZCART,0) AS PZCART,
ISNULL(A.PESONETTO,0) AS PESONETTO,
ISNULL(BB.Magazzino,0) AS QTAMAG,
A.IDIVA,
A.IDSTATOART,
A.DATACREAZIONE,
A.IDFAMASS,
B.FAMASS
FROM dbo.ARTICOLI A
LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM [dbo].[FAMASSORT]) B ON A.IDFAMASS = B.ID 
LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM [dbo].[DETTLISTINI] WHERE IdList IN(1,2)) AA ON A.CODART = AA.CODICE 
LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM [dbo].[MOVIMENTI]) BB ON A.CODART = BB.CODICE ';

IF @ISCODART = 'Si'
	SET @SQL = @SQL + ' WHERE A.CODART = ''' + @Filter + '''';
ELSE IF @ISCODART = 'No'
	SET @SQL = @SQL + ' WHERE A.DESCRIZIONE LIKE ''%' + @Filter + '%''';

IF @OrderBy != ''
BEGIN
	SET @SQL = @SQL + ' ORDER BY ' + @OrderBy + ' ' + @Tipo;
END

PRINT @SQL

-- ESEGUI SQL
EXEC sp_executesql @SQL;
END
ELSE IF(@IdList != -1)
BEGIN
SET @Filter =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@Filter))); 
SET @OrderBy =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@OrderBy)));

-- SQL DINAMICO
DECLARE @SQL1 NVARCHAR(4000);
DECLARE @ISCODART1 NCHAR(2) = 'No';

IF LEN(@Filter) > 0 AND (SELECT COUNT(*) FROM ARTICOLI WHERE CODART = @Filter) > 0
	SET @ISCODART1 = 'Si'
ELSE IF LEN(@Filter) > 0 AND ISNUMERIC(@Filter) = 0
	SET @ISCODART1 = 'No'
ELSE 
	SET @ISCODART1 = ''

SET @SQL1 = '
SELECT
ROW_NUMBER() OVER (ORDER BY ' + @OrderBy + ' ' + @Tipo + ') as RIGA,
A.CODART,
A.DESCRIZIONE,
ISNULL(AA.PREZZO, 0) AS PREZZO,
CASE WHEN ISNULL(A.PESONETTO,0) > 0 THEN ROUND(ISNULL(AA.PREZZO, 0) / ISNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
A.UM,
ISNULL(A.CODSTAT,'''') AS CODSTAT,
ISNULL(A.PZCART,0) AS PZCART,
ISNULL(A.PESONETTO,0) AS PESONETTO,
ISNULL(BB.Magazzino,0) AS QTAMAG,
A.IDIVA,
A.IDSTATOART,
A.DATACREAZIONE,
A.IDFAMASS,
B.FAMASS
FROM dbo.ARTICOLI A
LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM [dbo].[FAMASSORT]) B ON A.IDFAMASS = B.ID 
LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM [dbo].[DETTLISTINI] WHERE IdList = ' + @IdList + ') AA ON A.CODART = AA.CODICE 
LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM [dbo].[MOVIMENTI]) BB ON A.CODART = BB.CODICE ';

IF @ISCODART1 = 'Si'
	SET @SQL1 = @SQL1 + ' WHERE A.CODART = ''' + @Filter + '''';
ELSE IF @ISCODART1 = 'No'
	SET @SQL1 = @SQL1 + ' WHERE A.DESCRIZIONE LIKE ''%' + @Filter + '%''';

IF @OrderBy != ''
BEGIN
	SET @SQL1 = @SQL1 + ' ORDER BY ' + @OrderBy + ' ' + @Tipo;
END

PRINT @SQL1

-- ESEGUI SQL
EXEC sp_executesql @SQL1;
END
GO

Copy to Clipboard

SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
ALTER PROC [dbo].[Sp_SelMovimenti]

@Filter varchar(30),
@OrderBy varchar(30) = 'CODART',
@Tipo varchar(5) = ''

SET @Filter =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@Filter))); 
SET @OrderBy =  LTRIM(RTRIM([dbo].[Filter_Input_Param](@OrderBy)));

-- SQL DINAMICO
DECLARE @SQL NVARCHAR(4000);
DECLARE @ISCODART NCHAR(2) = 'No';

SET @SQL = '
SELECT ROW_NUMBER() OVER (ORDER BY A.' + @OrderBy + ' ' + @Tipo + ') as RIGA,
A.CODART,B.DESCRIZIONE,A.PRZACQ,B.UM,A.ACQUISTATO,A.RESO,A.VENDUTO,A.USCITE,A.SCADUTI,
(A.ACQUISTATO - A.RESO - A.VENDUTO - A.USCITE - A.SCADUTI) AS QTAMAG,
(A.SCADUTI / A.ACQUISTATO) AS INCSCAD  
FROM MOVIMENTI A JOIN ARTICOLI B ON A.CODART = B.CODART ';

IF @ISCODART = 'Si' --FILTRO PER CODART
	SET @SQL = @SQL + ' WHERE A.CODART = ''' + @Filter + '''';
ELSE IF @ISCODART = 'No' --FILTRO X DESCRIZIONE
	SET @SQL = @SQL + ' WHERE B.DESCRIZIONE LIKE ''%' + @Filter + '%''';

IF @OrderBy != ''
BEGIN
	SET @SQL = @SQL + ' ORDER BY ' + @OrderBy + ' ' + @Tipo;
END

PRINT @SQL

-- ESEGUI SQL
EXEC sp_executesql @SQL;

Copy to Clipboard

CREATE DEFINER=`WebClient`@`localhost` PROCEDURE `Sp_SelArt`(
	 v_filtro varchar(50),
     v_listino smallint 
     
)
BEGIN

SET @row_number = 0;

/* LA STORE PROCEDURE NON FA USO DI QUERY DINAMICHE PERCHE' NON PREVISTE IN MYSQL. @row_number
   CI PERMETTE DI CALCOLARE IL NUMERO DELLE RIGHE. LA PRIMA RIGA VERIFICA SE L'UTENTE STA
   EFFETTUANDO UNA RICERCA PER CODICE ARTICOLO UTILIZZANDO LA FUNZIONE DI AGGREGAZIONE COUNT(*)
   */
IF v_listino = -1 THEN
IF (SELECT COUNT(*) FROM articoli WHERE CODART = v_filtro > 0 AND length(v_filtro)) THEN
	SELECT 
	(@row_number:=@row_number + 1) as RIGA,
	A.CODART,
	A.DESCRIZIONE,
	IFNULL(AA.PREZZO, 0) AS PREZZO,
	CASE WHEN IFNULL(A.PESONETTO,0) > 0 THEN ROUND(IFNULL(AA.PREZZO, 0) / IFNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
	A.UM,
	IFNULL(A.CODSTAT,'') AS CODSTAT,
	IFNULL(A.PZCART,0) AS PZCART,
	ROUND(IFNULL(A.PESONETTO,0),2) AS PESONETTO,
	IFNULL(BB.Magazzino,0) AS QTAMAG,
	A.IDIVA,
	IFNULL(A.IDSTATOART,'3') AS IDSTATOART,
	IFNULL(A.IDFAMASS,-1) AS IDFAMASS,
	IFNULL(B.FAMASS,'NON DISPONIBILE') AS FAMASS,
	A.DATACREAZIONE
	FROM articoli A 
	LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM famassort) B ON A.IDFAMASS = B.ID 
	LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM dettlistini WHERE IdList IN(1,2)) AA ON A.CODART = AA.CODICE 
	LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM movimenti) BB ON A.CODART = BB.CODICE  
    WHERE A.CODART = v_filtro
    ORDER BY CODART; 
ELSEIF (IsNumeric(v_filtro) = 0 AND length(v_filtro)) THEN
	SELECT 
	(@row_number:=@row_number + 1) as RIGA,
	A.CODART,
	A.DESCRIZIONE,
	IFNULL(AA.PREZZO, 0) AS PREZZO,
	CASE WHEN IFNULL(A.PESONETTO,0) > 0 THEN ROUND(IFNULL(AA.PREZZO, 0) / IFNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
	A.UM,
	IFNULL(A.CODSTAT,'') AS CODSTAT,
	IFNULL(A.PZCART,0) AS PZCART,
	ROUND(IFNULL(A.PESONETTO,0),2) AS PESONETTO,
	IFNULL(BB.Magazzino,0) AS QTAMAG,
	A.IDIVA,
	IFNULL(A.IDSTATOART,'3') AS IDSTATOART,
	IFNULL(A.IDFAMASS,-1) AS IDFAMASS,
	IFNULL(B.FAMASS,'NON DISPONIBILE') AS FAMASS,
	A.DATACREAZIONE
	FROM articoli A 
	LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM famassort) B ON A.IDFAMASS = B.ID 
	LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM dettlistini WHERE IdList IN(1,2)) AA ON A.CODART = AA.CODICE 
	LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM movimenti) BB ON A.CODART = BB.CODICE  
	WHERE A.DESCRIZIONE LIKE CONCAT('%',v_filtro,'%')  
    ORDER BY CODART; 
ELSEIF (length(v_filtro) = 0) THEN
	SELECT 
	(@row_number:=@row_number + 1) as RIGA,
	A.CODART,
	A.DESCRIZIONE,
	IFNULL(AA.PREZZO, 0) AS PREZZO,
	CASE WHEN IFNULL(A.PESONETTO,0) > 0 THEN ROUND(IFNULL(AA.PREZZO, 0) / IFNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
	A.UM,
	IFNULL(A.CODSTAT,'') AS CODSTAT,
	IFNULL(A.PZCART,0) AS PZCART,
	ROUND(IFNULL(A.PESONETTO,0),2) AS PESONETTO,
	IFNULL(BB.Magazzino,0) AS QTAMAG,
	A.IDIVA,
	IFNULL(A.IDSTATOART,'3') AS IDSTATOART,
	IFNULL(A.IDFAMASS,-1) AS IDFAMASS,
	IFNULL(B.FAMASS,'NON DISPONIBILE') AS FAMASS,
	A.DATACREAZIONE
	FROM articoli A 
	LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM famassort) B ON A.IDFAMASS = B.ID 
	LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM dettlistini WHERE IdList IN(1,2)) AA ON A.CODART = AA.CODICE 
	LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM movimenti) BB ON A.CODART = BB.CODICE  
	ORDER BY CODART; 
END IF;
ELSEIF v_listino != -1 THEN
    IF (SELECT COUNT(*) FROM articoli WHERE CODART = v_filtro > 0 AND length(v_filtro)) THEN
	SELECT 
	(@row_number:=@row_number + 1) as RIGA,
	A.CODART,
	A.DESCRIZIONE,
	IFNULL(AA.PREZZO, 0) AS PREZZO,
	CASE WHEN IFNULL(A.PESONETTO,0) > 0 THEN ROUND(IFNULL(AA.PREZZO, 0) / IFNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
	A.UM,
	IFNULL(A.CODSTAT,'') AS CODSTAT,
	IFNULL(A.PZCART,0) AS PZCART,
	ROUND(IFNULL(A.PESONETTO,0),2) AS PESONETTO,
	IFNULL(BB.Magazzino,0) AS QTAMAG,
	A.IDIVA,
	IFNULL(A.IDSTATOART,'3') AS IDSTATOART,
	IFNULL(A.IDFAMASS,-1) AS IDFAMASS,
	IFNULL(B.FAMASS,'NON DISPONIBILE') AS FAMASS,
	A.DATACREAZIONE
	FROM articoli A 
	LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM famassort) B ON A.IDFAMASS = B.ID 
	LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM dettlistini WHERE IdList = v_listino) AA ON A.CODART = AA.CODICE 
	LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM movimenti) BB ON A.CODART = BB.CODICE  
    WHERE A.CODART = v_filtro
    ORDER BY CODART; 
ELSEIF (IsNumeric(v_filtro) = 0 AND length(v_filtro)) THEN
	SELECT 
	(@row_number:=@row_number + 1) as RIGA,
	A.CODART,
	A.DESCRIZIONE,
	IFNULL(AA.PREZZO, 0) AS PREZZO,
	CASE WHEN IFNULL(A.PESONETTO,0) > 0 THEN ROUND(IFNULL(AA.PREZZO, 0) / IFNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
	A.UM,
	IFNULL(A.CODSTAT,'') AS CODSTAT,
	IFNULL(A.PZCART,0) AS PZCART,
	ROUND(IFNULL(A.PESONETTO,0),2) AS PESONETTO,
	IFNULL(BB.Magazzino,0) AS QTAMAG,
	A.IDIVA,
	IFNULL(A.IDSTATOART,'3') AS IDSTATOART,
	IFNULL(A.IDFAMASS,-1) AS IDFAMASS,
	IFNULL(B.FAMASS,'NON DISPONIBILE') AS FAMASS,
	A.DATACREAZIONE
	FROM articoli A 
	LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM famassort) B ON A.IDFAMASS = B.ID 
	LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM dettlistini WHERE IdList = v_listino) AA ON A.CODART = AA.CODICE 
	LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM movimenti) BB ON A.CODART = BB.CODICE  
	WHERE A.DESCRIZIONE LIKE CONCAT('%',v_filtro,'%')  
    ORDER BY CODART; 
ELSEIF (length(v_filtro) = 0) THEN
	SELECT 
	(@row_number:=@row_number + 1) as RIGA,
	A.CODART,
	A.DESCRIZIONE,
	IFNULL(AA.PREZZO, 0) AS PREZZO,
	CASE WHEN IFNULL(A.PESONETTO,0) > 0 THEN ROUND(IFNULL(AA.PREZZO, 0) / IFNULL(A.PESONETTO,0),2) ELSE 0 END AS PRZKG,
	A.UM,
	IFNULL(A.CODSTAT,'') AS CODSTAT,
	IFNULL(A.PZCART,0) AS PZCART,
	ROUND(IFNULL(A.PESONETTO,0),2) AS PESONETTO,
	IFNULL(BB.Magazzino,0) AS QTAMAG,
	A.IDIVA,
	IFNULL(A.IDSTATOART,'3') AS IDSTATOART,
	IFNULL(A.IDFAMASS,-1) AS IDFAMASS,
	IFNULL(B.FAMASS,'NON DISPONIBILE') AS FAMASS,
	A.DATACREAZIONE
	FROM articoli A 
	LEFT JOIN (SELECT ID, DESCRIZIONE AS FAMASS FROM famassort) B ON A.IDFAMASS = B.ID 
	LEFT JOIN (SELECT CODART AS CODICE, PREZZO FROM dettlistini WHERE IdList = v_listino) AA ON A.CODART = AA.CODICE 
	LEFT JOIN (SELECT CODART AS CODICE, (ACQUISTATO - RESO - VENDUTO - USCITE - SCADUTI) AS Magazzino FROM movimenti) BB ON A.CODART = BB.CODICE  
	ORDER BY CODART; 
END IF;
END IF;
END

Copy to Clipboard

CREATE DEFINER=`WebClient`@`localhost` PROCEDURE `Sp_SelMovimenti`(
	 v_filtro varchar(50) 
)
BEGIN

SET @row_number = 0;

IF (SELECT COUNT(*) FROM articoli WHERE CODART = v_filtro > 0 AND length(v_filtro)) THEN
	BEGIN
		SELECT 
        (@row_number:=@row_number + 1) as RIGA,
        A.CODART,
        B.DESCRIZIONE,
        A.PRZACQ,
        B.UM,
        A.ACQUISTATO,
        A.RESO,
        A.VENDUTO,
        A.USCITE,
        A.SCADUTI,
		(A.ACQUISTATO - A.RESO - A.VENDUTO - A.USCITE - A.SCADUTI) AS QTAMAG,
		(A.SCADUTI / A.ACQUISTATO) AS INCSCAD  
		FROM movimenti A JOIN articoli B ON A.CODART = B.CODART  
        WHERE B.CODART = v_filtro; 
	END;
ELSEIF (IsNumeric(v_filtro) = 0 AND length(v_filtro)) THEN
	BEGIN
		SELECT 
        (@row_number:=@row_number + 1) as RIGA,
        A.CODART,
        B.DESCRIZIONE,
        A.PRZACQ,
        B.UM,
        A.ACQUISTATO,
        A.RESO,
        A.VENDUTO,
        A.USCITE,
        A.SCADUTI,
		(A.ACQUISTATO - A.RESO - A.VENDUTO - A.USCITE - A.SCADUTI) AS QTAMAG,
		(A.SCADUTI / A.ACQUISTATO) AS INCSCAD  
		FROM movimenti A JOIN articoli B ON A.CODART = B.CODART  
        WHERE B.DESCRIZIONE LIKE CONCAT('%',v_filtro,'%'); 
    END;
ELSE
	BEGIN
		SELECT 
        (@row_number:=@row_number + 1) as RIGA,
        A.CODART,
        B.DESCRIZIONE,
        A.PRZACQ,
        B.UM,
        A.ACQUISTATO,
        A.RESO,
        A.VENDUTO,
        A.USCITE,
        A.SCADUTI,
		(A.ACQUISTATO - A.RESO - A.VENDUTO - A.USCITE - A.SCADUTI) AS QTAMAG,
		(A.SCADUTI / A.ACQUISTATO) AS INCSCAD  
		FROM movimenti A JOIN articoli B ON A.CODART = B.CODART;  
    END;
END IF;

END