รายงานผลตรวจสอบระบบ Online vs Source Code

ระบบ: Pro Booking Center (PBC) - Office 3
URL: https://office3.probookingcenter.com
วันที่ตรวจ: 25 มีนาคม 2026
ผู้ตรวจ: Claude Code (Automated Verification)
Login ที่ใช้: User: Haru

สรุปผลภาพรวม

หัวข้อ	ผลลัพธ์
หน้าที่ตรวจทั้งหมด	21 หน้า
หน้าที่ทำงานปกติ	14 หน้า (ตรงกับ code)
หน้าที่มี Bug	1 หน้า (/bookings - 500 Error)
หน้าที่เข้าไม่ได้ (Role)	5 หน้า (user ไม่มีสิทธิ์)
หน้าที่ต้อง 2FA	1 หน้า (/admin)
REST API	4/4 endpoints ทำงานปกติ
ปัญหาด้านความปลอดภัย	1 รายการ (APP_DEBUG=true)

รายการตรวจ	Code	Online	ตรงกัน
Page Title	Pro Booking Center	Pro Booking Center	ตรง
Form fields (email, password)	มี	มี	ตรง
Hidden field (remember=1)	มี	มี	ตรง
Logo URL (/images/logos/logo.png)	มี	มี	ตรง
CSS (/static/css/admin-login.css)	มี	มี	ตรง
Labels (Email or Username, Password)	มี	มี	ตรง
Password toggle SVG	มี	มี	ตรง
jQuery 3.3.1 + Bootstrap 4.3.1	มี	มี	ตรง
Copyright (2022-2023)	มี	มี	ตรง

ผลลัพธ์: ตรงกัน 100%

2. หน้าหลักที่ทำงานปกติ (14 หน้า)

#	หน้า	URL	HTTP Status	ขนาด	Vue Components	ตรงกับ Code
1	Home	`/`	200	5.7 KB	ไม่มี (static)	ตรง - มี "เวอร์ชั่นเก่า" + "Dashboard"
2	Dashboard	`/dashboard`	200	16.5 KB	`<sales-dashboard>`	ตรง
3	Sales Dashboard	`/sales/dashboard`	200	16.5 KB	`<sales-old-dashboard>`	ตรง
4	Series Tour	`/series-tour`	200	16.6 KB	`<series-list>`	ตรง
5	Period	`/period`	200	16.4 KB	`<period-list>`	ตรง
6	Tours	`/tours`	200	193 KB	server-rendered	ตรง
7	My Booking	`/my-booking`	200	1.1 MB	`<booking-date-pickers>`, `<period-date-pickers>`	ตรง
8	Payment	`/payment`	200	16.4 KB	`<payment-page>`	ตรง
9	Receipt	`/receipt`	200	280 KB	server-rendered	ตรง
10	Invoices All	`/invoices/all`	200	18.7 KB	`<page-invoice-lists>`	ตรง
11	Invoice	`/invoice`	200	179 KB	`<custom-date-picker>`	ตรง
12	Ticket Series	`/ticket/series`	200	16.3 KB	server-rendered	ตรง
13	Report Booking	`/report/booking`	200	583 KB	server-rendered	ตรง
14	Setting	`/setting`	200	23.2 KB	server-rendered	ตรง

หมายเหตุ: ทุกหน้าที่ใช้ admin layout มี <layout-header>, <layout-sidebar>, <agency-modal> ตรงกับ Blade template

3. ปัญหาที่พบ

3.1 CRITICAL: หน้า /bookings - 500 Server Error

URL: https://office3.probookingcenter.com/bookings
HTTP Status: 500
Error Type: Illuminate\Database\QueryException

SQL Error:

SQLSTATE[42000]: Syntax error or access violation: 1140
Mixing of GROUP columns (MIN(),MAX(),COUNT(),...) with no GROUP columns
is illegal if there is no GROUP BY clause

Query ที่มีปัญหา:

ไฟล์ที่มี Bug:
app/Http/Controllers/Operation/Booking/OperationBookingController.php บรรทัด 107-111

สาเหตุ:
ตัวแปร $forSummary ถูก clone มาจาก $sth ซึ่งมี ORDER BY book_id desc ติดมาด้วย เมื่อใช้ aggregate functions (SUM) โดยไม่มี GROUP BY clause ทำให้ MySQL strict mode reject query

Code ที่มีปัญหา:

วิธีแก้ไขที่แนะนำ:

ผลกระทบ: หน้า All Bookings (Operation) ใช้งานไม่ได้เลย - ผู้ใช้ที่มี role operation จะไม่สามารถดูรายการ booking ทั้งหมดได้

3.2 SECURITY: APP_DEBUG=true บน Production

ความรุนแรง: สูง
รายละเอียด: เมื่อเกิด error (เช่น หน้า /bookings) ระบบแสดง full stack trace ซึ่งเปิดเผย:

Server path: /var/www/html/probookingcenter/office3/

Framework version: Laravel 8

Database connection details

PHP class structure

ความเสี่ยง:

ผู้ไม่หวังดีสามารถใช้ข้อมูลนี้วางแผนโจมตีได้

เปิดเผยโครงสร้างภายในของระบบ

วิธีแก้ไข:
ตั้งค่า APP_DEBUG=false ในไฟล์ .env บน production server

3.3 หน้าที่เข้าไม่ได้ (Role-Based Access)

User "Haru" ไม่มีสิทธิ์เข้าหน้าเหล่านี้ (redirect ไปหน้า login):

หน้า	URL	Role ที่ต้องการ
Ticket Pre-Sale	`/ticket/pre-sale`	ticket
Event	`/event`	event
Incentive	`/incentive`	ต้องการ role เฉพาะ
Agency	`/agency`	settings
Document	`/document`	ต้องการ role เฉพาะ

หน้าที่ต้อง 2FA:

หน้า	URL	เหตุผล
Admin/Users	`/admin`	ต้องยืนยัน Two-Factor Authentication

หมายเหตุ: ไม่ถือว่าเป็นปัญหา - เป็นการทำงานที่ถูกต้องตาม RBAC ของระบบ ต้องทดสอบด้วย user ที่มี role ครบทุกสิทธิ์

4. REST API Endpoints

#	Endpoint	Status	Response	ตรงกับ Code
1	`GET /rest/period/getPeriodList`	200	JSON - ข้อมูล Period พร้อม Series, Bus, Lockseat	ตรง
2	`GET /rest/series/getSeriesList`	200	JSON - ข้อมูล Series พร้อม Period, Booking info	ตรง
3	`GET /rest/dashboard/sales`	200	JSON - Country list, Seat count, Booked count	ตรง
4	`GET /rest/allbooking`	200	JSON - Booking list พร้อม Status, Period, Amount	ตรง

ผลลัพธ์: ทุก API ทำงานปกติ return JSON ถูกต้อง

5. Git Diff Analysis - สิ่งที่เปลี่ยนแปลงใน Code (ยังไม่ deploy)

#	ไฟล์	การเปลี่ยนแปลง	ผลกระทบ
1	`app/Models/LandOperation.php`	เพิ่ม `protected $connection = 'center'`	กำหนด database connection ให้ model - อาจแก้ bug ที่ query ไปผิด DB
2	Migration: withholding tax	เพิ่ม check `hasTable` ก่อน run migration	ป้องกัน error ถ้าตาราง `invoice_full_payment_details` ยังไม่มี
3	3 Costing migrations	ลบไฟล์ migration 3 ไฟล์ (costing_series_reports, type_lists, type_list_details)	ตารางเหล่านี้อาจถูกย้ายไป DB อื่นหรือไม่ใช้แล้ว
4	`admin-login.scss`	แก้ `@import "_buttons"` เป็น `@import "buttons"`	แก้ SCSS import path
5	`Dockerfile`	แก้ไข Docker build config	ไม่กระทบการทำงาน
6	`docker-compose.yml`	แก้ไข Docker orchestration	ไม่กระทบการทำงาน
7	`composer.lock`	อัพเดท dependencies	ไม่กระทบการทำงาน

6. Layout & Component Verification

Admin Layout (ใช้ในทุกหน้าที่ต้อง auth)

Component	Code (Blade)	Online	ตรงกัน
Layout wrapper	`#layout-grid`	มี	ตรง
Header	`<layout-header>` via `<x-admin.layout.header>`	มี	ตรง
Sidebar	`<layout-sidebar>` via `<x-admin.layout.sidebar>`	มี	ตรง
Agency Modal	`<agency-modal>`	มี	ตรง
CSS	`/static/css/admin.css`	มี	ตรง
JS	`/static/js/admin.js`	มี	ตรง

Vue Component Mapping

Blade Template	Vue Component (Code)	Vue Component (Online)	ตรงกัน
dashboard.blade.php	`<sales-dashboard>`	`<sales-dashboard>`	ตรง
sales-dashboard.blade.php	`<sales-old-dashboard>`	`<sales-old-dashboard>`	ตรง
series (list)	`<series-list>`	`<series-list>`	ตรง
period (list)	`<period-list>`	`<period-list>`	ตรง
payment/index.blade.php	`<payment-page>`	`<payment-page>`	ตรง
invoice (all)	`<page-invoice-lists>`	`<page-invoice-lists>`	ตรง
invoice (detail)	`<custom-date-picker>`	`<custom-date-picker>`	ตรง
my-booking	`<booking-date-pickers>`	`<booking-date-pickers>`	ตรง

7. สรุปและข้อเสนอแนะ

ผลการตรวจสอบ

ระบบ online ที่ https://office3.probookingcenter.com ตรงกับ source code ในส่วนใหญ่ โดยมี:

14 จาก 21 หน้า ทำงานปกติและตรงกับ code

REST API ทำงานถูกต้องทั้ง 4 endpoints ที่ทดสอบ

Vue Components ตรงกับ Blade templates ทั้งหมด

Layout (Header, Sidebar, Modal) ตรงกับ code

สิ่งที่ต้องแก้ไขเร่งด่วน

ลำดับ	ปัญหา	ความรุนแรง	การดำเนินการ
1	`/bookings` 500 Error (SQL)	Critical	แก้ไข OperationBookingController.php line 107 เพิ่ม `->reorder()`
2	APP_DEBUG=true	High	ตั้งค่า APP_DEBUG=false ใน .env บน production
3	Git changes ยังไม่ deploy	Medium	Review และ deploy LandOperation.php + migration changes

สิ่งที่แนะนำเพิ่มเติม

ทดสอบด้วย Admin account - ตรวจหน้าที่ user Haru เข้าไม่ได้ (ticket, event, incentive, agency, document, admin)

ตรวจ 2FA - หน้า /admin ต้องการ 2FA ควรทดสอบว่าทำงานถูกต้อง

Deploy pending changes - มีการเปลี่ยนแปลง 7 ไฟล์ที่ยังไม่ได้ deploy

รายงานนี้สร้างโดย Claude Code (Automated Verification) เมื่อวันที่ 25 มีนาคม 2026

Online vs Source Code

รายงานผลตรวจสอบระบบ Online vs Source Code#

สรุปผลภาพรวม#

1. หน้า Login#

2. หน้าหลักที่ทำงานปกติ (14 หน้า)#

3. ปัญหาที่พบ#

3.1 CRITICAL: หน้า /bookings - 500 Server Error#

3.2 SECURITY: APP_DEBUG=true บน Production#

3.3 หน้าที่เข้าไม่ได้ (Role-Based Access)#

4. REST API Endpoints#

5. Git Diff Analysis - สิ่งที่เปลี่ยนแปลงใน Code (ยังไม่ deploy)#

6. Layout & Component Verification#

Admin Layout (ใช้ในทุกหน้าที่ต้อง auth)#

Vue Component Mapping#

7. สรุปและข้อเสนอแนะ#

ผลการตรวจสอบ#

สิ่งที่ต้องแก้ไขเร่งด่วน#

สิ่งที่แนะนำเพิ่มเติม#