PHP+MYSQL 程序被攻击，求应对方法

类似购物的程序，程序上的流程是这样的：

1、用户发起请求，下单
2、检查各种参数是否齐全、有效
3、检查用户余额是否足够
4、写入订单表
5、写入用户表，将用户余额减少
6、写入记录表，记录用户下单买的啥，以及花了多少钱

今天发现一个神奇的用户，他在1秒钟之内下了20单！至于是不是1秒钟无从查起，因为数据库只精确到秒。
更奇怪的是：

1、明明没有足够的余额，却继续进入了后续的步骤
2、写入订单表成功、写入记录表成功，但是就是没有扣余额

我想来想去也没弄明白这是怎么回事儿，各位遇到过么？有何应对方法？

** 其他用户是完全正常的，只有这个瞬间下很多单的不正常。

<code>    public function orderCreate(Request $request, Response $response) {
        
        if(!$user = session('wechat.oauth_user')){
            return response()->json([
                'error' => '身份驗證失敗，請重新打開頁面再試'
            ]);
        }

        if(is_null($request->input('object', NULL))
        || is_null($request->input('stake', NULL))
        || is_null($request->input('time', NULL))
        || is_null($request->input('direction', NULL))){
            return response()->json([
                'error' => '參數提交不全，請重新打開頁面再試'
            ]);
        }

        if($request->input('stake') != 20
        && $request->input('stake') != 50
        && $request->input('stake') != 100
        && $request->input('stake') != 200
        && $request->input('stake') != 500
        && $request->input('stake') != 1000
        && $request->input('stake') != 2000
        && $request->input('stake') != 3000){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }

        if($request->input('time') != 60
        && $request->input('time') != 120
        && $request->input('time') != 180
        && $request->input('time') != 240
        && $request->input('time') != 300){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }

        if($request->input('direction') != 1
        && $request->input('direction') != 0){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }

        if(!$object = Object::find($request->input('object'))){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }
        
        $object_latestPrice = Price::where('id_object', $object->id)->orderBy('created_at', 'desc')->first();
        if((strtotime($object_latestPrice->body_price_time) + 300) json([
                'error' => '休市期間無法進行交易'
            ]);
        }
        
        if(!$user = User::where('id_wechat', $user->id)->first()){
            return response()->json([
                'error' => '身份驗證失敗，請重新打開頁面再試'
            ]);
        }
        
        if(floatval($user->body_balance) input('stake')){
            return response()->json([
                'error' => '帳戶可用餘額不足，請先充值後再交易'
            ]);
        }

        if($user->is_disabled > 0){
            return response()->json([
                'error' => '帳戶已被封禁，无法进行交易'
            ]);
        }

        $order = new Order;
        $order->id_user = $user->id;
        $order->id_object = $object->id;
        $order->body_price_buying = $object_latestPrice->body_price;
        $order->body_stake = $request->input('stake');
        $order->body_bonus = $object->body_profit * $request->input('stake');
        $order->body_direction = $request->input('direction');
        $order->body_time = $request->input('time');
        $order->save();

        $user->body_balance = floatval($user->body_balance) - floatval($order->body_stake);
        $user->body_transactions = floatval($user->body_transactions) + floatval($order->body_stake);
        $user->save();

        $record = new Record;
        $record->id_user = $user->id;
        $record->id_order = $order->id;
        $record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
        $record->body_direction = 0;
        $record->body_stake = $order->body_stake;
        $record->save();

        return response()->json([
            'result' => $order->toArray()
        ]);

    }</code>

UPDATE：
现在在一大堆的条件判断之后，希望改成事物来处理这件事，但是 Laravel 的事务这么写正确么？或者说我这么写的话能够起到我想要的作用么？有点懵 - -

<code>        DB::beginTransaction();

        $user->body_balance = floatval($user->body_balance) - $request->input('stake');
        $user->body_transactions = floatval($user->body_transactions) + $request->input('stake');
        $user->save();

        if($user->body_balance id_user = $user->id;
            $order->id_object = $object->id;
            $order->body_price_buying = $object_latestPrice->body_price;
            $order->body_stake = $request->input('stake');
            $order->body_bonus = $object->body_profit * $request->input('stake');
            $order->body_direction = $request->input('direction');
            $order->body_time = $request->input('time');
            $order->save();

            $record = new Record;
            $record->id_user = $user->id;
            $record->id_order = $order->id;
            $record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
            $record->body_direction = 0;
            $record->body_stake = $order->body_stake;
            $record->save();

            $this->computeNetwork($user, $order);

            if($order->body_time == 60) $this->computePrice($user, $order, $object);
            
        }

        DB::commit();</code>

回复内容：

类似购物的程序，程序上的流程是这样的：

1、用户发起请求，下单
2、检查各种参数是否齐全、有效
3、检查用户余额是否足够
4、写入订单表
5、写入用户表，将用户余额减少
6、写入记录表，记录用户下单买的啥，以及花了多少钱

今天发现一个神奇的用户，他在1秒钟之内下了20单！至于是不是1秒钟无从查起，因为数据库只精确到秒。
更奇怪的是：

1、明明没有足够的余额，却继续进入了后续的步骤
2、写入订单表成功、写入记录表成功，但是就是没有扣余额

我想来想去也没弄明白这是怎么回事儿，各位遇到过么？有何应对方法？

** 其他用户是完全正常的，只有这个瞬间下很多单的不正常。

<code>    public function orderCreate(Request $request, Response $response) {
        
        if(!$user = session('wechat.oauth_user')){
            return response()->json([
                'error' => '身份驗證失敗，請重新打開頁面再試'
            ]);
        }

        if(is_null($request->input('object', NULL))
        || is_null($request->input('stake', NULL))
        || is_null($request->input('time', NULL))
        || is_null($request->input('direction', NULL))){
            return response()->json([
                'error' => '參數提交不全，請重新打開頁面再試'
            ]);
        }

        if($request->input('stake') != 20
        && $request->input('stake') != 50
        && $request->input('stake') != 100
        && $request->input('stake') != 200
        && $request->input('stake') != 500
        && $request->input('stake') != 1000
        && $request->input('stake') != 2000
        && $request->input('stake') != 3000){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }

        if($request->input('time') != 60
        && $request->input('time') != 120
        && $request->input('time') != 180
        && $request->input('time') != 240
        && $request->input('time') != 300){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }

        if($request->input('direction') != 1
        && $request->input('direction') != 0){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }

        if(!$object = Object::find($request->input('object'))){
            return response()->json([
                'error' => '參數提交錯誤，請重新打開頁面再試'
            ]);
        }
        
        $object_latestPrice = Price::where('id_object', $object->id)->orderBy('created_at', 'desc')->first();
        if((strtotime($object_latestPrice->body_price_time) + 300) json([
                'error' => '休市期間無法進行交易'
            ]);
        }
        
        if(!$user = User::where('id_wechat', $user->id)->first()){
            return response()->json([
                'error' => '身份驗證失敗，請重新打開頁面再試'
            ]);
        }
        
        if(floatval($user->body_balance) input('stake')){
            return response()->json([
                'error' => '帳戶可用餘額不足，請先充值後再交易'
            ]);
        }

        if($user->is_disabled > 0){
            return response()->json([
                'error' => '帳戶已被封禁，无法进行交易'
            ]);
        }

        $order = new Order;
        $order->id_user = $user->id;
        $order->id_object = $object->id;
        $order->body_price_buying = $object_latestPrice->body_price;
        $order->body_stake = $request->input('stake');
        $order->body_bonus = $object->body_profit * $request->input('stake');
        $order->body_direction = $request->input('direction');
        $order->body_time = $request->input('time');
        $order->save();

        $user->body_balance = floatval($user->body_balance) - floatval($order->body_stake);
        $user->body_transactions = floatval($user->body_transactions) + floatval($order->body_stake);
        $user->save();

        $record = new Record;
        $record->id_user = $user->id;
        $record->id_order = $order->id;
        $record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
        $record->body_direction = 0;
        $record->body_stake = $order->body_stake;
        $record->save();

        return response()->json([
            'result' => $order->toArray()
        ]);

    }</code>

UPDATE：
现在在一大堆的条件判断之后，希望改成事物来处理这件事，但是 Laravel 的事务这么写正确么？或者说我这么写的话能够起到我想要的作用么？有点懵 - -

<code>        DB::beginTransaction();

        $user->body_balance = floatval($user->body_balance) - $request->input('stake');
        $user->body_transactions = floatval($user->body_transactions) + $request->input('stake');
        $user->save();

        if($user->body_balance id_user = $user->id;
            $order->id_object = $object->id;
            $order->body_price_buying = $object_latestPrice->body_price;
            $order->body_stake = $request->input('stake');
            $order->body_bonus = $object->body_profit * $request->input('stake');
            $order->body_direction = $request->input('direction');
            $order->body_time = $request->input('time');
            $order->save();

            $record = new Record;
            $record->id_user = $user->id;
            $record->id_order = $order->id;
            $record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
            $record->body_direction = 0;
            $record->body_stake = $order->body_stake;
            $record->save();

            $this->computeNetwork($user, $order);

            if($order->body_time == 60) $this->computePrice($user, $order, $object);
            
        }

        DB::commit();</code>

没见过涉及金钱交易不开事务就执行的，请用事务解决此类问题。

更新一下：
有人回答先扣钱就行，答案是否定的，在MySQL中不用事务一定完成不了这个操作。
举个不用事务先扣钱的例子，

1. 收到请求A，进行余额查询，余额足够，

2. 这时候请求B闯入，也进行了余额查询，余额足够，

3. 请求A开始更新余额，然后进行了其他操作，

4. 请求B也开始更新余额，进行其他操作。

如此一样解决不了并发的问题。

事务加一，而且优先判断金额等重要条件

没看懂你代码具体的实现，但是我猜你可能取到的脏数据。
你可以试试如下方案
trans begin
sql:update xxx set 帐户余额 = 帐户余额 - 消费金额(扣费操作)
sql:select 帐户余额 from xxx (获取完成扣费后的余额)
if(帐户余额 else commit

20单并发，每单在判断余额的时候应该都是足够的，然后之后写表操作，第一次扣余额成功，接下来19单扣余额失败，但是你的代码中没有任何处理，就导致了创建了订单，但是没有扣余额的情况
解决方法楼上都说了，用事务提交，一开始先update余额字段，然后再做余下操作，这样能保证并发的时候在余额这里有一个锁，其它请求都要等到这个请求被commit或者rollback以后才能执行

首先，楼主最后贴的代码还是有问题的。

总的来说，这个，需要用到事务和锁，同时避免一些坑。

第一，检查mysql的事务级别，我们要在 可重复读的 级别下。
第二，确认线上数据库结构，确保读写都使用一个数据库连接（尤其是读写分离的情况下）。
第三，首先开启事务。
第四，开事务后，第一条就是用select for update查询出用户的余额（避免一致性非锁定读）。
第五，进行资金判断和扣减，注意php计算的话，使用bcmath来处理。
第六，所有资金操作都应该有日志记录,所有的数据异常或者代码错误都应该记录日志。
第七，业务操作后提交事务。

把账户余额扣费放在前面，目前的逻辑执行了，但在扣费的过程出错了而已，如金额字段不能小于0。放在前面扣费的话，可以判断是否执行成功，否则提示错误！

问题出在3,4,5这里，这种逻辑在出现类似并发的集中请求的时候就会出问题。正确逻辑是
3-update table set 余额 = 余额 - 金额 where user_id = ? & 余额 > 金额，检查本次修改所影响的行数，如果为0表示根本没更新，就是余额已经不足了
4-写订单
就没有5了

原始逻辑的问题就是3查询的时候余额确实是足够的，但是等到第5步扣除余额的时候就不一定了。

嗯，补充一下，有明说的没错，就算修改了逻辑涉及重要数据的地方也最好使用事务。

同上，涉及金钱或者类似的，一定要开启事务。