PHP+MYSQL 程序被攻击,求应对方法
类似购物的程序,程序上的流程是这样的:
1、用户发起请求,下单
2、检查各种参数是否齐全、有效
3、检查用户余额是否足够
4、写入订单表
5、写入用户表,将用户余额减少
6、写入记录表,记录用户下单买的啥,以及花了多少钱
今天发现一个神奇的用户,他在1秒钟之内下了20单!至于是不是1秒钟无从查起,因为数据库只精确到秒。
更奇怪的是:
1、明明没有足够的余额,却继续进入了后续的步骤
2、写入订单表成功、写入记录表成功,但是就是没有扣余额
我想来想去也没弄明白这是怎么回事儿,各位遇到过么?有何应对方法?
** 其他用户是完全正常的,只有这个瞬间下很多单的不正常。
<code> public function orderCreate(Request $request, Response $response) {
if(!$user = session('wechat.oauth_user')){
return response()->json([
'error' => '身份驗證失敗,請重新打開頁面再試'
]);
}
if(is_null($request->input('object', NULL))
|| is_null($request->input('stake', NULL))
|| is_null($request->input('time', NULL))
|| is_null($request->input('direction', NULL))){
return response()->json([
'error' => '參數提交不全,請重新打開頁面再試'
]);
}
if($request->input('stake') != 20
&& $request->input('stake') != 50
&& $request->input('stake') != 100
&& $request->input('stake') != 200
&& $request->input('stake') != 500
&& $request->input('stake') != 1000
&& $request->input('stake') != 2000
&& $request->input('stake') != 3000){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
if($request->input('time') != 60
&& $request->input('time') != 120
&& $request->input('time') != 180
&& $request->input('time') != 240
&& $request->input('time') != 300){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
if($request->input('direction') != 1
&& $request->input('direction') != 0){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
if(!$object = Object::find($request->input('object'))){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
$object_latestPrice = Price::where('id_object', $object->id)->orderBy('created_at', 'desc')->first();
if((strtotime($object_latestPrice->body_price_time) + 300) json([
'error' => '休市期間無法進行交易'
]);
}
if(!$user = User::where('id_wechat', $user->id)->first()){
return response()->json([
'error' => '身份驗證失敗,請重新打開頁面再試'
]);
}
if(floatval($user->body_balance) input('stake')){
return response()->json([
'error' => '帳戶可用餘額不足,請先充值後再交易'
]);
}
if($user->is_disabled > 0){
return response()->json([
'error' => '帳戶已被封禁,无法进行交易'
]);
}
$order = new Order;
$order->id_user = $user->id;
$order->id_object = $object->id;
$order->body_price_buying = $object_latestPrice->body_price;
$order->body_stake = $request->input('stake');
$order->body_bonus = $object->body_profit * $request->input('stake');
$order->body_direction = $request->input('direction');
$order->body_time = $request->input('time');
$order->save();
$user->body_balance = floatval($user->body_balance) - floatval($order->body_stake);
$user->body_transactions = floatval($user->body_transactions) + floatval($order->body_stake);
$user->save();
$record = new Record;
$record->id_user = $user->id;
$record->id_order = $order->id;
$record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
$record->body_direction = 0;
$record->body_stake = $order->body_stake;
$record->save();
return response()->json([
'result' => $order->toArray()
]);
}</code>UPDATE:
现在在一大堆的条件判断之后,希望改成事物来处理这件事,但是 Laravel 的事务这么写正确么?或者说我这么写的话能够起到我想要的作用么?有点懵 - -
<code> DB::beginTransaction();
$user->body_balance = floatval($user->body_balance) - $request->input('stake');
$user->body_transactions = floatval($user->body_transactions) + $request->input('stake');
$user->save();
if($user->body_balance id_user = $user->id;
$order->id_object = $object->id;
$order->body_price_buying = $object_latestPrice->body_price;
$order->body_stake = $request->input('stake');
$order->body_bonus = $object->body_profit * $request->input('stake');
$order->body_direction = $request->input('direction');
$order->body_time = $request->input('time');
$order->save();
$record = new Record;
$record->id_user = $user->id;
$record->id_order = $order->id;
$record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
$record->body_direction = 0;
$record->body_stake = $order->body_stake;
$record->save();
$this->computeNetwork($user, $order);
if($order->body_time == 60) $this->computePrice($user, $order, $object);
}
DB::commit();</code>回复内容:
类似购物的程序,程序上的流程是这样的:
1、用户发起请求,下单
2、检查各种参数是否齐全、有效
3、检查用户余额是否足够
4、写入订单表
5、写入用户表,将用户余额减少
6、写入记录表,记录用户下单买的啥,以及花了多少钱
今天发现一个神奇的用户,他在1秒钟之内下了20单!至于是不是1秒钟无从查起,因为数据库只精确到秒。
更奇怪的是:
1、明明没有足够的余额,却继续进入了后续的步骤
2、写入订单表成功、写入记录表成功,但是就是没有扣余额
我想来想去也没弄明白这是怎么回事儿,各位遇到过么?有何应对方法?
** 其他用户是完全正常的,只有这个瞬间下很多单的不正常。
<code> public function orderCreate(Request $request, Response $response) {
if(!$user = session('wechat.oauth_user')){
return response()->json([
'error' => '身份驗證失敗,請重新打開頁面再試'
]);
}
if(is_null($request->input('object', NULL))
|| is_null($request->input('stake', NULL))
|| is_null($request->input('time', NULL))
|| is_null($request->input('direction', NULL))){
return response()->json([
'error' => '參數提交不全,請重新打開頁面再試'
]);
}
if($request->input('stake') != 20
&& $request->input('stake') != 50
&& $request->input('stake') != 100
&& $request->input('stake') != 200
&& $request->input('stake') != 500
&& $request->input('stake') != 1000
&& $request->input('stake') != 2000
&& $request->input('stake') != 3000){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
if($request->input('time') != 60
&& $request->input('time') != 120
&& $request->input('time') != 180
&& $request->input('time') != 240
&& $request->input('time') != 300){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
if($request->input('direction') != 1
&& $request->input('direction') != 0){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
if(!$object = Object::find($request->input('object'))){
return response()->json([
'error' => '參數提交錯誤,請重新打開頁面再試'
]);
}
$object_latestPrice = Price::where('id_object', $object->id)->orderBy('created_at', 'desc')->first();
if((strtotime($object_latestPrice->body_price_time) + 300) json([
'error' => '休市期間無法進行交易'
]);
}
if(!$user = User::where('id_wechat', $user->id)->first()){
return response()->json([
'error' => '身份驗證失敗,請重新打開頁面再試'
]);
}
if(floatval($user->body_balance) input('stake')){
return response()->json([
'error' => '帳戶可用餘額不足,請先充值後再交易'
]);
}
if($user->is_disabled > 0){
return response()->json([
'error' => '帳戶已被封禁,无法进行交易'
]);
}
$order = new Order;
$order->id_user = $user->id;
$order->id_object = $object->id;
$order->body_price_buying = $object_latestPrice->body_price;
$order->body_stake = $request->input('stake');
$order->body_bonus = $object->body_profit * $request->input('stake');
$order->body_direction = $request->input('direction');
$order->body_time = $request->input('time');
$order->save();
$user->body_balance = floatval($user->body_balance) - floatval($order->body_stake);
$user->body_transactions = floatval($user->body_transactions) + floatval($order->body_stake);
$user->save();
$record = new Record;
$record->id_user = $user->id;
$record->id_order = $order->id;
$record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
$record->body_direction = 0;
$record->body_stake = $order->body_stake;
$record->save();
return response()->json([
'result' => $order->toArray()
]);
}</code>UPDATE:
现在在一大堆的条件判断之后,希望改成事物来处理这件事,但是 Laravel 的事务这么写正确么?或者说我这么写的话能够起到我想要的作用么?有点懵 - -
<code> DB::beginTransaction();
$user->body_balance = floatval($user->body_balance) - $request->input('stake');
$user->body_transactions = floatval($user->body_transactions) + $request->input('stake');
$user->save();
if($user->body_balance id_user = $user->id;
$order->id_object = $object->id;
$order->body_price_buying = $object_latestPrice->body_price;
$order->body_stake = $request->input('stake');
$order->body_bonus = $object->body_profit * $request->input('stake');
$order->body_direction = $request->input('direction');
$order->body_time = $request->input('time');
$order->save();
$record = new Record;
$record->id_user = $user->id;
$record->id_order = $order->id;
$record->body_name = $request->input('direction') == 1? '買入看漲' : '買入看跌';
$record->body_direction = 0;
$record->body_stake = $order->body_stake;
$record->save();
$this->computeNetwork($user, $order);
if($order->body_time == 60) $this->computePrice($user, $order, $object);
}
DB::commit();</code>
没见过涉及金钱交易不开事务就执行的,请用事务解决此类问题。
更新一下:
有人回答先扣钱就行,答案是否定的,在MySQL中不用事务一定完成不了这个操作。
举个不用事务先扣钱的例子,
收到请求A,进行余额查询,余额足够,
这时候请求B闯入,也进行了余额查询,余额足够,
请求A开始更新余额,然后进行了其他操作,
请求B也开始更新余额,进行其他操作。
如此一样解决不了并发的问题。
事务加一,而且优先判断金额等重要条件
没看懂你代码具体的实现,但是我猜你可能取到的脏数据。
你可以试试如下方案
trans begin
sql:update xxx set 帐户余额 = 帐户余额 - 消费金额(扣费操作)
sql:select 帐户余额 from xxx (获取完成扣费后的余额)
if(帐户余额 else commit
20单并发,每单在判断余额的时候应该都是足够的,然后之后写表操作,第一次扣余额成功,接下来19单扣余额失败,但是你的代码中没有任何处理,就导致了创建了订单,但是没有扣余额的情况
解决方法楼上都说了,用事务提交,一开始先update余额字段,然后再做余下操作,这样能保证并发的时候在余额这里有一个锁,其它请求都要等到这个请求被commit或者rollback以后才能执行
首先,楼主最后贴的代码还是有问题的。
总的来说,这个,需要用到事务和锁,同时避免一些坑。
第一,检查mysql的事务级别,我们要在 可重复读的 级别下。
第二,确认线上数据库结构,确保读写都使用一个数据库连接(尤其是读写分离的情况下)。
第三,首先开启事务。
第四,开事务后,第一条就是用select for update查询出用户的余额(避免一致性非锁定读)。
第五,进行资金判断和扣减,注意php计算的话,使用bcmath来处理。
第六,所有资金操作都应该有日志记录,所有的数据异常或者代码错误都应该记录日志。
第七,业务操作后提交事务。
把账户余额扣费放在前面,目前的逻辑执行了,但在扣费的过程出错了而已,如金额字段不能小于0。放在前面扣费的话,可以判断是否执行成功,否则提示错误!
问题出在3,4,5这里,这种逻辑在出现类似并发的集中请求的时候就会出问题。正确逻辑是
3-update table set 余额 = 余额 - 金额 where user_id = ? & 余额 > 金额,检查本次修改所影响的行数,如果为0表示根本没更新,就是余额已经不足了
4-写订单
就没有5了
原始逻辑的问题就是3查询的时候余额确实是足够的,但是等到第5步扣除余额的时候就不一定了。
嗯,补充一下,有明说的没错,就算修改了逻辑涉及重要数据的地方也最好使用事务。
同上,涉及金钱或者类似的,一定要开启事务。
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7338
9
1627
14
1352
46
1265
25
1210
29
Ubuntu 및 Debian용 PHP 8.4 설치 및 업그레이드 가이드
Dec 24, 2024 pm 04:42 PM
PHP 8.4는 상당한 양의 기능 중단 및 제거를 통해 몇 가지 새로운 기능, 보안 개선 및 성능 개선을 제공합니다. 이 가이드에서는 Ubuntu, Debian 또는 해당 파생 제품에서 PHP 8.4를 설치하거나 PHP 8.4로 업그레이드하는 방법을 설명합니다.
MySQL 8.4에서 mysql_native_password가 로드되지 않음 오류를 수정하는 방법
Dec 09, 2024 am 11:42 AM
MySQL 8.4(2024년 최신 LTS 릴리스)에 도입된 주요 변경 사항 중 하나는 "MySQL 기본 비밀번호" 플러그인이 더 이상 기본적으로 활성화되지 않는다는 것입니다. 또한 MySQL 9.0에서는 이 플러그인을 완전히 제거합니다. 이 변경 사항은 PHP 및 기타 앱에 영향을 미칩니다.
PHP 개발을 위해 Visual Studio Code(VS Code)를 설정하는 방법
Dec 20, 2024 am 11:31 AM
VS Code라고도 알려진 Visual Studio Code는 모든 주요 운영 체제에서 사용할 수 있는 무료 소스 코드 편집기 또는 통합 개발 환경(IDE)입니다. 다양한 프로그래밍 언어에 대한 대규모 확장 모음을 통해 VS Code는
PHP에서 HTML/XML을 어떻게 구문 분석하고 처리합니까?
Feb 07, 2025 am 11:57 AM
이 튜토리얼은 PHP를 사용하여 XML 문서를 효율적으로 처리하는 방법을 보여줍니다. XML (Extensible Markup Language)은 인간의 가독성과 기계 구문 분석을 위해 설계된 다목적 텍스트 기반 마크 업 언어입니다. 일반적으로 데이터 저장 AN에 사용됩니다
문자열로 모음을 계산하는 PHP 프로그램
Feb 07, 2025 pm 12:12 PM
문자열은 문자, 숫자 및 기호를 포함하여 일련의 문자입니다. 이 튜토리얼은 다른 방법을 사용하여 PHP의 주어진 문자열의 모음 수를 계산하는 방법을 배웁니다. 영어의 모음은 A, E, I, O, U이며 대문자 또는 소문자 일 수 있습니다. 모음이란 무엇입니까? 모음은 특정 발음을 나타내는 알파벳 문자입니다. 대문자와 소문자를 포함하여 영어에는 5 개의 모음이 있습니다. a, e, i, o, u 예 1 입력 : String = "Tutorialspoint" 출력 : 6 설명하다 문자열의 "Tutorialspoint"의 모음은 u, o, i, a, o, i입니다. 총 6 개의 위안이 있습니다
이전에 몰랐던 후회되는 PHP 함수 7가지
Nov 13, 2024 am 09:42 AM
숙련된 PHP 개발자라면 이미 그런 일을 해왔다는 느낌을 받을 것입니다. 귀하는 상당한 수의 애플리케이션을 개발하고, 수백만 줄의 코드를 디버깅하고, 여러 스크립트를 수정하여 작업을 수행했습니다.
2024년 개발자를 위한 상위 10대 PHP CMS 플랫폼
Dec 05, 2024 am 10:29 AM
CMS는 콘텐츠 관리 시스템을 의미합니다. 사용자가 고급 기술 지식 없이도 디지털 콘텐츠를 생성, 관리 및 수정할 수 있는 소프트웨어 애플리케이션 또는 플랫폼입니다. CMS를 사용하면 사용자가 콘텐츠를 쉽게 생성하고 구성할 수 있습니다.
PHP에서 배열 끝에 요소를 추가하는 방법
Feb 07, 2025 am 11:17 AM
배열은 프로그래밍에서 데이터를 처리하는 데 사용되는 선형 데이터 구조입니다. 때로는 배열을 처리 할 때 기존 배열에 새 요소를 추가해야합니다. 이 기사에서는 각 방법에 대한 코드 예제, 출력 및 시간 및 공간 복잡성 분석을 통해 PHP의 배열 끝에 요소를 추가하는 몇 가지 방법에 대해 논의합니다. 배열에 요소를 추가하는 다양한 방법은 다음과 같습니다. 사각형 브래킷 사용 [] PHP에서 배열 끝에 요소를 추가하는 방법은 사각형 브래킷을 사용하는 것입니다 []. 이 구문은 단일 요소 만 추가하려는 경우에만 작동합니다. 다음은 구문입니다. $ array [] = value; 예
