缓存穿透:
缓存对查询不起作用了,每次key对应的数据都不存在缓存中,这时请求就会请求到数据库,从而压垮数据库。比如用一个不存在的用户id访问api,无论缓存中还是数据库都不存在,黑客就可能利用此漏洞攻击很可能会压垮数据库。
解决方案:
1.很多人经常用的方式。如果一个查询返回的数据为空,不管数据存不存在,我们直接把这个空结果进行缓存,并且设置很短的过期时间。这样就不会让所有请求都打在数据库上,从而压垮数据库。不过缺点也很明显,浪费内存,而且无法抵御随机key的攻击。
2.使用布隆过滤器。布隆过滤器可以有效的防止这种情况的发生,但是布隆过滤器有一个缺点,它说存在的不一定存在,但它说不存在的一定不存在。
php + redis实现的布隆过滤器:
class Bloom {
// 哈希函数的数量
protected $hashNum = 10;
// 位数组的大小
protected $bitArrayCount = 6000;
// 位数组
protected $bitArray = [];
public function __construct()
{
// 构建默认的位数组,全部置为 false
$this->bitArray = array_pad([], $this->bitArrayCount, false);
}
/**
* 获取 hash 函数;也就是在位数组中,需要改为 true 的索引
* @param string $item 元素
* @return array
*/
protected function getIndexes($item): array
{
$indexes = [];
for ($i = 0; $i < $this->hashNum; $i ++) {
$index = crc32($item . $i); // 使用 crc32 散列
$index = $index % $this->bitArrayCount; // 获取 在位数组中的 位置
$indexes[] = $index;
}
return $indexes;
}
/**
* 向过滤器中添加元素
* @param string $item 要添加的元素
*/
public function addItem($item)
{
$indexes = $this->getIndexes($item);
// 将 hash 结果对应的位修改为 true
foreach ($indexes as $index) {
$this->bitArray[$index] = true;
}
}
/**
* 过滤器中是否存在这个元素; true 表示很可能存在,false 表示一定不存在
* @param string $item 元素
* @return array
*/
public function mightExist($item)
{
$indexes = $this->getIndexes($item);
foreach ($indexes as $index) {
if (! $this->bitArray[$index]) {
return false;
}
}
return true;
}
}
class Test
{
public function run()
{
$bloom = new Bloom();
// 向过滤器中添加 1000 个元素
for ($i = 1; $i <= 1000; $i ++) {
$bloom->addItem($i);
}
// 测试 过滤器判断结果
for ($i = 990; $i <= 1010; $i ++) {
$mightExist = $bloom->mightExist($i);
if ($mightExist) {
echo "很可能存在", $i, PHP_EOL;
} else {
echo "一定不存在", $i, PHP_EOL;
}
}
}
}
(new Test())->run();
// 执行结果如下
//很可能存在990
//很可能存在991
//很可能存在992
//很可能存在993
//很可能存在994
//很可能存在995
//很可能存在996
//很可能存在997
//很可能存在998
//很可能存在999
//很可能存在1000
//一定不存在1001
//一定不存在1002
//一定不存在1003
//很可能存在1004
//一定不存在1005
//一定不存在1006
//一定不存在1007
//一定不存在1008
//一定不存在1009
//一定不存在1010