28 KiB
28 KiB
รายงานการตรวจสอบ Unhandled Exception - Controllers ชุดที่ 1 (ไฟล์ที่ 1-10)
Project: BMA EHR Organization Backend Framework: TSOA + Express + TypeORM วันที่ตรวจสอบ: 2026-05-08 จำนวน Controllers: 10 ไฟล์ สถานะ: เสร็จสิ้น
สรุปผลการตรวจสอบ
| ระดับความรุนแรง | จำนวนจุดเสี่ยง |
|---|---|
| CRITICAL | 2 |
| HIGH | 3 |
| MEDIUM | 4 |
| LOW | 1 |
| BUG | 1 |
| รวมทั้งหมด | 11 |
Controllers ที่ตรวจสอบ
- AuthRoleAttrController.ts
- AuthRoleController.ts
- AuthSysController.ts
- ApiManageController.ts
- ApiKeyController.ts
- ApiWebServiceController.ts
- BloodGroupController.ts
- ChangePositionController.ts
- CommandCodeController.ts
- CommandController.ts - ไฟล์ใหญ่เกินกว่าที่จะอ่าน (336KB+)
รายละเอียดจุดเสี่ยงแต่ละจุด
#1 - Redis Client Error Handling (CRITICAL)
File & Location: AuthRoleController.ts:126-138
Method: AddAuthRoleGovoment
Problem Type: 1. Unhandled Exception / 2. Missing Error Handle
Root Cause:
- Redis client operations ไม่มี error handling
redisClient.del()มี callback ที่ throw error แต่ไม่มี try-catch รองรับ- Redis connection error จะทำให้เกิด unhandled exception และทำให้ Node.js process crash
- Callback pattern ที่ใช้ throw จะไม่ถูก catch โดย Promise chain
Code ปัจจุบัน (เสี่ยง):
const redisClient = await this.redis.createClient({
host: REDIS_HOST,
port: REDIS_PORT,
});
redisClient.del("role_" + posMaster.current_holderId, (err: Error, response: Response) => {
if (err) throw err; // ❌ จะทำให้ process crash
});
redisClient.del("menu_" + posMaster.current_holderId, (err: Error, response: Response) => {
if (err) throw err; // ❌ จะทำให้ process crash
});
Recommended Fix:
// ใช้ Promise wrapper หรือ util.promisify
import { promisify } from 'util';
// Create Redis client
const redisClient = await this.redis.createClient({
host: REDIS_HOST,
port: REDIS_PORT,
});
// Promisify the operations
const redisDelAsync = promisify(redisClient.del).bind(redisClient);
try {
if (posMaster.current_holderId) {
await redisDelAsync("role_" + posMaster.current_holderId);
await redisDelAsync("menu_" + posMaster.current_holderId);
}
} catch (error) {
console.error('Redis operation failed:', error);
// Log error แต่ไม่ crash - Redis failure ไม่ควรทำให้ business logic หยุดทำงาน
// อาจ skip Redis operation หรือ return warning แต่ business process ควรดำเนินต่อ
} finally {
// ปิด connection หากจำเป็น
if (redisClient) {
redisClient.quit();
}
}
หมายเหตุ: ปัญหาเดียวกันพบใน method editAuthRole ที่ line 269-276
#2 - Redis flushdb Without Error Handling (CRITICAL)
File & Location: AuthRoleController.ts:269-276
Method: editAuthRole
Problem Type: 1. Unhandled Exception / 2. Missing Error Handle
Root Cause:
redisClient.flushdb()มี callback แต่ไม่ได้จัดการ error- Flush operation เป็น critical operation ที่อาจ fail ได้
- ไม่มี try-catch รอบรับ Redis operations
Code ปัจจุบัน (เสี่ยง):
const redisClient = await this.redis.createClient({
host: REDIS_HOST,
port: REDIS_PORT,
});
await redisClient.flushdb(function (err: any, succeeded: any) {
console.log(succeeded); // will be true if successfull
}); // ❌ ถ้า error จะไม่ได้จัดการ
Recommended Fix:
import { promisify } from 'util';
const redisClient = await this.redis.createClient({
host: REDIS_HOST,
port: REDIS_PORT,
});
try {
const redisFlushDbAsync = promisify(redisClient.flushdb).bind(redisClient);
await redisFlushDbAsync();
} catch (error) {
console.error('Redis flush operation failed:', error);
throw new HttpError(HttpStatus.SERVICE_UNAVAILABLE, "Failed to clear cache");
} finally {
if (redisClient) {
redisClient.quit();
}
}
#3 - CallAPI External Request Without Error Handling (CRITICAL)
File & Location: ChangePositionController.ts:585-604
Method: doneReport
Problem Type: 1. Unhandled Exception
Root Cause:
- External API call ผ่าน
CallAPI().PostData()ไม่มี try-catch Promise.all()ถ้ามี promise ไหน reject จะทำให้ unhandled rejection- Network error, timeout, หรือ external service down จะทำให้ unhandled rejection
- ไม่มี timeout handling
Code ปัจจุบัน (เสี่ยง):
await Promise.all(
body.result.map(async (v) => {
const profile = await this.profileChangePositionRepository.findOne({
where: { id: v.id },
});
if (profile != null) {
await new CallAPI()
.PostData(request, "/org/profile/salary", { // ❌ ไม่มี error handling
profileId: profile.id,
date: new Date(),
})
.then(async (x) => {
profile.status = "DONE";
await this.profileChangePositionRepository.save(profile);
});
}
}),
);
Recommended Fix:
// ใช้ Promise.allSettled แทน Promise.all เพื่อไม่ให้ rejection หยุดทั้งหมด
const results = await Promise.allSettled(
body.result.map(async (v) => {
try {
const profile = await this.profileChangePositionRepository.findOne({
where: { id: v.id },
});
if (profile != null) {
// Add timeout
const timeoutPromise = new Promise((_, reject) =>
setTimeout(() => reject(new Error('Request timeout')), 30000)
);
const apiCallPromise = new CallAPI().PostData(request, "/org/profile/salary", {
profileId: profile.id,
date: new Date(),
});
await Promise.race([apiCallPromise, timeoutPromise]);
profile.status = "DONE";
await this.profileChangePositionRepository.save(profile);
}
} catch (error) {
console.error(`Failed to process profile ${v.id}:`, error);
// Mark as FAILED แทนที่จะ leave as-is
const profile = await this.profileChangePositionRepository.findOne({
where: { id: v.id },
});
if (profile) {
profile.status = "FAILED";
profile.errorMessage = error.message;
await this.profileChangePositionRepository.save(profile);
}
throw error; // Re-throw to track in allSettled
}
}),
);
// Check results
const failed = results.filter(r => r.status === 'rejected');
if (failed.length > 0) {
console.error(`${failed.length} profiles failed to process`);
// Optionally return partial success info
}
#4 - Database Operations Without Error Handling (HIGH)
Files: ทั้งหมด 9 Controllers Locations: หลาย method ในทุกไฟล์
Problem Type: 2. Missing Error Handle
Root Cause:
- Database operations ส่วนใหญ่ไม่มี try-catch
- TypeORM query errors จะถูก catch โดย global error middleware แต่อาจเป็น generic 500 errors
- Connection timeout, database down, หรือ query errors จะไม่ได้รับการจัดการเฉพาะเจาะจง
- ไม่สามารถ distinguish ระหว่าง different error types ได้
ตัวอย่าง Code ปัจจุบัน (เสี่ยง):
@Get("list")
public async listAuthRoleAttr() {
const getList = await this.authRoleAttrRepo.find();
// ❌ ถ้า database error จะ throw ไปยัง global middleware
// ไม่สามารถ handle เฉพาะเจาะจงได้
return new HttpSuccess(getList);
}
Recommended Fix: สำหรับ critical operations:
import { QueryFailedError } from "typeorm";
@Get("list")
public async listAuthRoleAttr() {
try {
const getList = await this.authRoleAttrRepo.find();
return new HttpSuccess(getList);
} catch (error) {
if (error instanceof QueryFailedError) {
// Handle database-specific errors
console.error('Database query failed:', error);
throw new HttpError(
HttpStatus.SERVICE_UNAVAILABLE,
"Database service temporarily unavailable"
);
} else if (error.message && error.message.includes('connection')) {
throw new HttpError(
HttpStatus.SERVICE_UNAVAILABLE,
"Unable to connect to database"
);
}
// Re-throw other errors to global middleware
throw error;
}
}
#5 - Promise.all Without Error Handling (HIGH)
File & Location: AuthRoleController.ts:247-267
Method: editAuthRole
Problem Type: 1. Unhandled Exception / 2. Missing Error Handle
Root Cause:
Promise.all()รวมremove()และหลายsave()operations- ถ้า operation ไหน fail จะทำให้ unhandled rejection
- ไม่มี try-catch รองรับ
- Partial failure จะทำให้ไม่สามารถ recover ได้
Code ปัจจุบัน (เสี่ยง):
await this.authRoleAttrRepo.remove(roleAttrData, { data: req });
const newAttrs = body.authRoleAttrs.map((attr) => {
const newAttr = new AuthRoleAttr();
Object.assign(newAttr, attr, {
authRoleId: roleId,
createdUserId: req.user.sub,
createdFullName: req.user.name,
lastUpdateUserId: req.user.sub,
lastUpdateFullName: req.user.name,
createdAt: new Date(),
lastUpdatedAt: new Date(),
});
return newAttr;
});
const before = structuredClone(record);
await Promise.all([
this.authRoleRepo.save(record, { data: req }),
setLogDataDiff(req, { before, after: record }),
...newAttrs.map((attr) => this.authRoleAttrRepo.save(attr)), // ❌ ถ้า fail จะ unhandled rejection
]);
Recommended Fix:
try {
await this.authRoleAttrRepo.remove(roleAttrData, { data: req });
const newAttrs = body.authRoleAttrs.map((attr) => {
const newAttr = new AuthRoleAttr();
Object.assign(newAttr, attr, {
authRoleId: roleId,
createdUserId: req.user.sub,
createdFullName: req.user.name,
lastUpdateUserId: req.user.sub,
lastUpdateFullName: req.user.name,
createdAt: new Date(),
lastUpdatedAt: new Date(),
});
return newAttr;
});
const before = structuredClone(record);
// ใช้ Promise.allSettled แทน Promise.all
const results = await Promise.allSettled([
this.authRoleRepo.save(record, { data: req }),
setLogDataDiff(req, { before, after: record }),
...newAttrs.map((attr) => this.authRoleAttrRepo.save(attr)),
]);
// Check for failures
const failures = results.filter(r => r.status === 'rejected');
if (failures.length > 0) {
console.error('Some operations failed:', failures);
throw new HttpError(
HttpStatus.INTERNAL_SERVER_ERROR,
"Failed to update some role attributes"
);
}
// Redis flush with error handling (จากปัญหา #2)
const redisClient = await this.redis.createClient({
host: REDIS_HOST,
port: REDIS_PORT,
});
try {
const redisFlushDbAsync = promisify(redisClient.flushdb).bind(redisClient);
await redisFlushDbAsync();
} catch (error) {
console.error('Redis flush failed:', error);
// Non-critical - don't fail the request
} finally {
if (redisClient) {
redisClient.quit();
}
}
return new HttpSuccess();
} catch (error) {
console.error('Failed to update role:', error);
throw new HttpError(
HttpStatus.INTERNAL_SERVER_ERROR,
"Failed to update role"
);
}
#6 - JWT Verification Inconsistent Error Handling (MEDIUM)
File & Location: ApiKeyController.ts:42-61
Method: verifyApiKey
Problem Type: 2. Missing Error Handle
Root Cause:
- มี try-catch แต่ return HttpSuccess แทนที่จะ throw error
- Error handling ไม่ consistent กับ endpoints อื่น
- Client จะไม่รู้ว่าเกิด error (เพราะได้ 200 OK พร้อม valid: false)
- ไม่สามารถ distinguish ระหว่าง token types ของ errors ได้
Code ปัจจุบัน (เสี่ยง):
try {
const jwtSecret = process.env.JWT_SECRET || "your-default-secret-key";
const decoded = jwt.verify(requestBody.token, jwtSecret);
return new HttpSuccess({
valid: true,
data: decoded,
});
} catch (error: any) {
console.error("JWT Verification Error:", error.message);
return new HttpSuccess({ // ❌ Return success แม้ error
valid: false,
error: error.message,
});
}
Recommended Fix:
try {
const jwtSecret = process.env.JWT_SECRET;
if (!jwtSecret) {
throw new HttpError(
HttpStatus.INTERNAL_SERVER_ERROR,
"JWT secret not configured"
);
}
const decoded = jwt.verify(requestBody.token, jwtSecret);
return new HttpSuccess({
valid: true,
data: decoded,
});
} catch (error: any) {
console.error("JWT Verification Error:", error.message);
if (error.name === 'TokenExpiredError') {
throw new HttpError(HttpStatus.UNAUTHORIZED, "Token expired");
} else if (error.name === 'JsonWebTokenError') {
throw new HttpError(HttpStatus.UNAUTHORIZED, "Invalid token");
} else if (error instanceof HttpError) {
throw error;
}
throw new HttpError(
HttpStatus.INTERNAL_SERVER_ERROR,
"Token verification failed"
);
}
#7 - Query Builder Without Error Handling (MEDIUM)
File & Location: ChangePositionController.ts:284-350
Method: GetProfileChangePositionLists
Problem Type: 2. Missing Error Handle
Root Cause:
- Complex QueryBuilder พร้อม Brackets และ dynamic conditions
- ถ้า query syntax error, database connection error, หรือ data type mismatch จะ throw ไป global middleware
- ไม่สามารถ log หรือ track specific query errors ได้
Code ปัจจุบัน (เสี่ยง):
const [profileChangePosition, total] = await AppDataSource.getRepository(ProfileChangePosition)
.createQueryBuilder("profileChangePosition")
.where({ changePositionId: changePositionId })
.andWhere(
new Brackets((qb) => {
qb.where(
searchKeyword != undefined && searchKeyword != null && searchKeyword != ""
? "profileChangePosition.prefix LIKE :keyword"
: "1=1",
{ keyword: `%${searchKeyword}%` },
)
// ... หลาย orWhere
}),
)
.orderBy("profileChangePosition.createdAt", "ASC")
.skip((page - 1) * pageSize)
.take(pageSize)
.getManyAndCount(); // ❌ ไม่มี try-catch
return new HttpSuccess({ data: profileChangePosition, total });
Recommended Fix:
try {
// Validate input
if (page < 1) {
throw new HttpError(HttpStatus.BAD_REQUEST, "Invalid page number");
}
if (pageSize < 1 || pageSize > 1000) {
throw new HttpError(HttpStatus.BAD_REQUEST, "Invalid page size");
}
const [profileChangePosition, total] = await AppDataSource.getRepository(ProfileChangePosition)
.createQueryBuilder("profileChangePosition")
.where({ changePositionId: changePositionId })
.andWhere(
new Brackets((qb) => {
// Use parameterized queries
const conditions = [];
const params = { keyword: `%${searchKeyword}%` };
if (searchKeyword) {
conditions.push("profileChangePosition.prefix LIKE :keyword");
conditions.push("profileChangePosition.firstName LIKE :keyword");
conditions.push("profileChangePosition.lastName LIKE :keyword");
conditions.push("profileChangePosition.citizenId LIKE :keyword");
conditions.push("profileChangePosition.birthDate LIKE :keyword");
conditions.push("profileChangePosition.lastUpdatedAt LIKE :keyword");
conditions.push("profileChangePosition.status LIKE :keyword");
}
qb.where(
searchKeyword ? conditions.join(" OR ") : "1=1",
params
);
}),
)
.orderBy("profileChangePosition.createdAt", "ASC")
.skip((page - 1) * pageSize)
.take(pageSize)
.getManyAndCount();
return new HttpSuccess({ data: profileChangePosition, total });
} catch (error) {
if (error instanceof HttpError) {
throw error;
}
console.error('Query failed:', error);
throw new HttpError(
HttpStatus.INTERNAL_SERVER_ERROR,
"Failed to retrieve profile change positions"
);
}
#8 - Null Reference Risk (MEDIUM)
File & Location: ApiWebServiceController.ts:67-78
Method: listAttribute
Problem Type: 2. Missing Error Handle
Root Cause:
revisionอาจเป็น null ถ้าไม่พบ record- การใช้
revision?.idจะทำให้ condition เป็นPosMaster.orgRevisionId = "undefined" - SQL query จะไม่ error แต่จะ return ผลลัพธ์ที่ไม่ถูกต้อง
- ไม่มี validation ว่า revision ต้องมีค่า
Code ปัจจุบัน (เสี่ยง):
} else if (system == "organization") {
tbMain = "OrgRoot";
const revision = await this.orgRevisionRepository.findOne({
select: ["id"],
where: { orgRevisionIsCurrent: true, orgRevisionIsDraft: false },
});
condition = `OrgRoot.orgRevisionId = "${revision?.id}"`; // ❌ ถ้า revision เป็น null จะเป็น undefined
}
Recommended Fix:
} else if (system == "organization") {
tbMain = "OrgRoot";
const revision = await this.orgRevisionRepository.findOne({
select: ["id"],
where: { orgRevisionIsCurrent: true, orgRevisionIsDraft: false },
});
if (!revision) {
throw new HttpError(
HttpStatus.NOT_FOUND,
"No current organization revision found"
);
}
condition = `OrgRoot.orgRevisionId = "${revision.id}"`;
}
#9 - Unsafe Default Environment Variable (LOW)
File & Location: ApiKeyController.ts:45
Method: verifyApiKey
Problem Type: 2. Missing Error Handle / Security
Root Cause:
- ใช้ default value สำหรับ JWT_SECRET
- ใน production ถ้าไม่ได้ set JWT_SECRET จะใช้ default value ที่ไม่ปลอดภัย
- อาจนำไปสู่ security breach
Code ปัจจุบัน (เสี่ยง):
const jwtSecret = process.env.JWT_SECRET || "your-default-secret-key"; // ❌ Default value insecure
Recommended Fix:
const jwtSecret = process.env.JWT_SECRET;
if (!jwtSecret) {
if (process.env.NODE_ENV === 'production') {
throw new HttpError(
HttpStatus.INTERNAL_SERVER_ERROR,
"JWT secret not configured"
);
}
// Only for development
console.warn('Using default JWT secret - not safe for production!');
}
const decoded = jwt.verify(requestBody.token, jwtSecret || 'dev-secret-key');
#10 - Switch Statement Without Break (BUG)
File & Location: ChangePositionController.ts:430-515
Method: positionProfileEmployee
Problem Type: 3. Logic Bug (ส่งผลต่อ data consistency)
Root Cause:
- Switch statement ไม่มี
breakstatements - จะเกิด fallthrough effect - ทุก case หลังจาก case ที่ match จะถูก execute ด้วย
- จะทำให้ data ถูก overwrite ด้วยค่าจาก cases ถัดไป
- เป็น common bug ที่อาจทำให้ data corruption
Code ปัจจุบัน (เสี่ยง):
switch (body.node) {
case 0: {
const data = await this.orgRootRepository.findOne({
where: { id: body.nodeId },
});
if (data != null) {
profileChangePos.rootId = data.id;
profileChangePos.root = data.orgRootName;
profileChangePos.rootShortName = data.orgRootShortName;
}
} // ❌ ไม่มี break
case 1: { // ❌ จะ execute ถ้า case 0 match
const data = await this.child1Repository.findOne({
where: { id: body.nodeId },
relations: ["orgRoot"],
});
// ...
} // ❌ ไม่มี break
case 2: { // ❌ จะ execute ถ้า case 0 หรือ 1 match
// ...
}
// ... ต่อไปเรื่อยๆ
}
Recommended Fix:
switch (body.node) {
case 0: {
const data = await this.orgRootRepository.findOne({
where: { id: body.nodeId },
});
if (data != null) {
profileChangePos.rootId = data.id;
profileChangePos.root = data.orgRootName;
profileChangePos.rootShortName = data.orgRootShortName;
}
break; // ✅ เพิ่ม break
}
case 1: {
const data = await this.child1Repository.findOne({
where: { id: body.nodeId },
relations: ["orgRoot"],
});
if (data != null) {
profileChangePos.rootId = data.orgRoot.id;
profileChangePos.root = data.orgRoot.orgRootName;
profileChangePos.rootShortName = data.orgRoot.orgRootShortName;
profileChangePos.child1Id = data.id;
profileChangePos.child1 = data.orgChild1Name;
profileChangePos.child1ShortName = data.orgChild1ShortName;
}
break; // ✅ เพิ่ม break
}
case 2: {
const data = await this.child2Repository.findOne({
where: { id: body.nodeId },
relations: ["orgRoot", "orgChild1"],
});
if (data != null) {
profileChangePos.rootId = data.orgRoot.id;
profileChangePos.root = data.orgRoot.orgRootName;
profileChangePos.rootShortName = data.orgRoot.orgRootShortName;
profileChangePos.child1Id = data.orgChild1.id;
profileChangePos.child1 = data.orgChild1.orgChild1Name;
profileChangePos.child1ShortName = data.orgChild1.orgChild1ShortName;
profileChangePos.child2Id = data.id;
profileChangePos.child2 = data.orgChild2Name;
profileChangePos.child2ShortName = data.orgChild2ShortName;
}
break; // ✅ เพิ่ม break
}
case 3: {
// ... เพิ่ม break ท้าย
}
case 4: {
// ... เพิ่ม break ท้าย
}
}
#11 - Array Mutation in Loop (MEDIUM)
File & Location: ChangePositionController.ts:233-250
Method: CreateProfileChangePosition
Problem Type: 3. Logic Bug
Root Cause:
- ใช้ตัวแปร
profilesเดียวแล้ว push เข้า array หลายครั้ง - ทุก elements ใน array จะชี้ไปที่ object เดียวกัน
- ทำให้ข้อมูลซ้ำกันทั้งหมด
Code ปัจจุบัน (เสี่ยง):
const profileChangePositions: ProfileChangePosition[] = [];
const profiles = new ProfileChangePosition(); // ❌ สร้างครั้งเดียว
for (const data of body.profiles) {
Object.assign(profiles, data); // ❌ ใช้ object เดียว
// ...
profileChangePositions.push(profiles); // ❌ push object เดียวกันซ้ำๆ
}
await this.profileChangePositionRepository.save(profileChangePositions);
Recommended Fix:
const profileChangePositions: ProfileChangePosition[] = [];
for (const data of body.profiles) {
const profiles = new ProfileChangePosition(); // ✅ สร้างใหม่ทุกรอบ
Object.assign(profiles, data);
let positionOld = data.positionOld ? `${data.positionOld}` : "";
let rootOld = data.rootOld ? (data.positionOld ? `/${data.rootOld}` : `${data.rootOld}`) : "";
profiles.changePositionId = changePositionId;
profiles.organizationPositionOld = `${positionOld}${rootOld}`;
profiles.status = "WAITTING";
profiles.createdUserId = request.user.sub;
profiles.createdFullName = request.user.name;
profiles.createdAt = new Date();
profiles.lastUpdateUserId = request.user.sub;
profiles.lastUpdateFullName = request.user.name;
profiles.lastUpdatedAt = new Date();
profileChangePositions.push(profiles);
}
await this.profileChangePositionRepository.save(profileChangePositions);
สรุปคำแนะนำการแก้ไขแบบรวม
ระดับความสำคัญ
ต้องแก้ทันที (P0 - Critical):
- Redis operations error handling - อาจทำให้ process crash
- External API calls error handling - อาจทำให้ unhandled rejection
ควรแก้โดยเร็ว (P1 - High): 3. Database operations error handling 4. Promise operations error handling
ควรแก้ (P2 - Medium): 5. JWT verification consistency 6. Query builder error handling 7. Null reference checks
แก้เมื่อว่าง (P3 - Low): 8. Environment variable defaults 9. Code quality issues
แนวทางการแก้ไขแบบ Global
-
Implement centralized error handling:
- Wrap all async operations
- Use specific error types
- Log all errors appropriately
-
Add circuit breaker for external services:
- Redis, external APIs
- Prevent cascade failures
-
Use Promise.allSettled แทน Promise.all สำหรับ independent operations
-
Add input validation:
- Validate before processing
- Check for null/undefined
-
Implement retry logic:
- For transient failures
- Database connection issues
ไฟล์ที่ต้องแก้ไข
- src/controllers/AuthRoleController.ts - Redis operations, Promise operations
- src/controllers/ChangePositionController.ts - External API calls, Switch bug, Array mutation
- src/controllers/ApiKeyController.ts - JWT verification, Environment variables
- src/controllers/ApiWebServiceController.ts - Null reference checks
ข้อมูลเพิ่มเติม
- Controllers ที่ยังไม่ได้ตรวจสอบ: 130 ไฟล์
- ไฟล์ที่ไม่สามารถอ่านได้: CommandController.ts (ไฟล์ใหญ่เกิน 336KB)
รายงานนี้ถูกสร้างโดย AI Code Review System สำหรับ BMA EHR Organization Project