并发请求导致的业务处理安全风险及解决方案

最新推荐文章于 2021-03-30 09:26:10 发布
最新推荐文章于 2021-03-30 09:26:10 发布
阅读量699 收藏
点赞数
分类专栏: Php 开发

http://drops.wooyun.org/papers/831


0x00 背景

一段简单的购买程序,看起来没有任何问题。

剩余余额、商品库存、购买权限等判断面面俱到,从头到脚包装的严严实实。

但是为何人一多就频频漏点呐?何解?

0x01 问题分析

还是以商城购买为例,商城网站是web程序和数据库两部分,业务处理流程:

1
用户金额是否大于商品价格—>商品库存是否充足—>购买操作:生成订单—>扣除用户金额—>商品库存减1

2013122510571541794.png

流程的每一部分都是web与数据库打交道,查询或者操作数据库。

程序示例(PHP+MySQL)

1
2
3
4
5
6
7
8
9
10
11
12
13
$goods = $db ->FirstRow( "SELECT * FROM " .Tb( 'goods' ). " WHERE goods_id='{$goods_id}'" );
if ( empty ( $goods )) ShowError( '商品不存在' );
/* 金额是否充足 */
if ( $user ->money< $goods [ 'price' ])  ShowError( '金额不足,请充值' );
/* 商品库存 */
if ( $goods [ 'num' ]==0)  ShowError( '库存不足' );
/* 购买操作 begin */
//生成订单
CreateOrder( $goods , $user ,time());
$user ->Update( 'money' => $user ->money- $goods [ 'price' ]); //用户金额减少
$db ->Execute( "UPDATE " .Tb( 'goods' ). " SET num=num-1 WHERE goods_id='{$goods_id}'" ); //商品库存-1
ShowSuccess( '购买成功' );
/* 购买操作 end */

正常来看这个业务处理是没有问题的,下面想象下多人同时购买(并发请求,如秒杀活动)的情境可能会引发的问题?

如果一个用户同时有两次购买请求,一次购买已进行到添加订单但未扣除用户金额,另一次购买在第一步用户金额判断便不准确了。

当商品库存仅为1时,同时有多个请求,而当前没有一个请求走到商品库存减少位置,多次购买都能成功,而商城却无货可发。

2013122510574019546.png

总结来说,当有大量的购买操作同时进行,如果数据库的处理速度跟不上程序的请求速度,就会出现判断不准确的问题,造成用户以单个商品的金额购买多个商品、某些用户付款了但得不到商品等,算是一个安全风险。

0x02 解决方案:

核心思想:将一次业务处理流程(如购买操作)作为一个最小操作单元,同一时间只能有一个操作。

1.  整个操作加内存锁。如在memcache里,开始购买时设置购买状态为进行中,购买结束后清除购买状态,程序开始时即从memcache里判断是否有正在进行的购买操作,如有则退出。
2.  限制每个用户的购买间隔,如10秒内仅允许购买一次,最好也是放在内存里。
3.  当然,优化数据库及程序以加快处理速度也是有必要的。

解决方案程序示例(PHP+MySQL+Memcached)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
/**
  * 通过memcache解决并发购买问题
  */
$goods = $db ->FirstRow( "SELECT * FROM " .Tb( 'goods' ). " WHERE goods_id='{$goods_id}'" );
if ( empty ( $goods )) ShowError( '商品不存在' );
$mmc =memcache_init();
$lastBuyTime = $mmc ->get( 'lastBuyTime_' . $user ->userId);
if ( $lastBuyTime >0 && $lastBuyTime >time()-10)  ShowError( '10秒内只能进行一次购买' );
$buying = $mmc ->get( 'buying' );
if ( $buying ==1)  ShowError( '有正在进行的购买,请稍候' );
/* 金额是否充足 */
if ( $user ->money< $goods [ 'price' ])  ShowError( '金额不足,请充值' );
/* 商品库存 */
if ( $goods [ 'num' ]==0)  ShowError( '库存不足' );
/* 购买操作 begin */
//生成订单
CreateOrder( $goods , $user ,time());
$user ->Update( 'money' => $user ->money- $goods [ 'price' ]); //用户金额减少
$db ->Execute( "UPDATE " .Tb( 'goods' ). " SET num=num-1 WHERE goods_id='{$goods_id}'" ); //商品库存-1
/* 购买操作 end */
$mmc ->set( 'buying' ,0);
$mmc ->set( 'lastBuyTime_' . $user ->userId,time());
ShowSuccess( '购买成功' );

leonpengweicn
关注
专栏目录
并发处理业务
Judy_zhou的专栏
08-17 466
public class InviteCardThread extends Thread { protected Logger logger = Logger.getLogger(InviteCardThread.class);     private Semaphore semaphore = new Semaphore(InviteCardUtil.semaphores);
并发业务处理
xdx2599的专栏
06-21 348
典型场景:秒杀 一 提前准备工作 1.系统独立部署 2.做好系统性能容量规划     (两个方面 一是对系统性能有个计算,另外还需要对并发量有个预估)     容灾 和过载保护措施  3 系统的拆分 比如:按功能模块,按实时/非实时,按动态/静态等 4 设置商品定时上架的时间 5 服务器时钟同步 6 动态生成下单页面的URL(不能使用固定的url ,防止用户直接使用url提交)...
使用httpclient必须知道的参数设置及代码写法、存在的风险
wjxbj的博客
07-09 210
        如果使用httpclient 3.1并发量比较大的项目,最好升级到httpclient4.2.3上,保证并发量大时能抗住。         httpclient一天并发量在1500w左右,峰值一秒7万。在之前使用过程中,一直存在大量的。 org.apache.http.conn.ConnectionPoolTimeoutException: Timeout waiting ...
并发的优势与风险
ZENGHUOAN的博客
06-10 412
优势: 1、速度:用时处理多个请求,响应更快;复杂的操作可以分成多个进程同时进行。 2、设计:程序设计在某些情况下更简单,也可以更多的选择。 3、资源利用:cpu能够在等待io的时候做一些其他的事情。 风险: 1、安全性:多线程共享数据时可能会产生于期望不符的结果。 2、活跃性:某个操作无法继续进行下去时,就会发生活跃性问题。比如死锁、饥饿等问题。 3、性能:线程过多会使得cpu频繁...
超卖问题和高并发问题
一夜奈何梁山
11-09 1035
目录一:抢订单环节带来的问题二:出现高并发和超卖的原因?三:解决方案:3.1:数据迁移:3.2:队列:3.3:Mysql二段式提交+redis原子自增:3.4:服务器解决性能瓶颈问题 一:抢订单环节带来的问题 高并发:大量用户同一时间抢购,网站瞬时访问量剧增,导致服务器压力大 。 超卖问题:成功下订单买到商品的人数,超过数据库最大库存数量。 二:出现高并发和超卖的原因? 1:首先MySQL自身对于高并发处理性能就会出现问题,一般来说,MySQL的处理性能会随着并发thread上升而上升,但是到了一定
Java并发编程与高并发解决方案笔记-基础篇.docx
10-26
Java并发编程与高并发解决方案是开发高性能应用的关键技术。在基础篇中,主要涉及以下几个重要知识点: 1. **并发编程基础** - **并发**:并发是指在一个时间段内,多个线程交替执行,使得系统看起来像是同时处理...
并发业务场景下的秒杀解决方案.docx
10-26
这个解决方案利用了Redis的原子性操作`lpop`,确保了在高并发环境下,库存的减少操作是线程安全的。因为`lpop`在Redis内部是顺序执行的,即使大量请求同时到来,也会排队处理,避免了并发问题。同时,通过返回的唯一...
医疗行业网络安全解决方案.pdf
06-05
在医疗行业中,网络安全是至关重要的,因为这直接影响到...总的来说,医疗行业网络安全解决方案应综合考虑系统性能、业务连续性、数据安全和法规遵从性,构建多层次、全方位的防护体系,以保障医疗信息化的健康发展。
企业高并发的成熟解决方案
07-05
处理并发问题,需要有成熟的解决方案来确保系统的稳定性和性能。本文将深入探讨如何设计和优化数据库以应对并发环境。 首先,数据库的设计是解决高并发问题的关键。一种常见的方法是采用读写分离策略,即将读...
程序员过关斩将-应对并发系统有没有通用的解决方案呢.docx
10-26
总结起来,应对并发系统并没有单一的通用解决方案,而是需要根据具体业务场景,结合提升单机性能、横向扩展、缓存利用、异步处理、数据库优化和微服务等多种策略进行综合设计。在实践中,需要平衡性能、扩展性、...
ios并发会造成什么问题_Axios请求并发限制
weixin_39942213的博客
12-19 574
标签NodeJS并发请求,并行请求,QPS限制,Axios并发限制,Axios并发请求背景由于调用第三方服务的API的时候,第三方对请求的QPS会有一定的限制,如百度的人脸识别接口,QPS=5,腾讯地图开放平台的普通账号QPS=5,那么在使用的过程中如果每秒请求数超过此限制,接口就会返回报错。导致请求失败。因此,需要在本地实现QPS的控制,当把多个Axios的请求扔到Promise队列中的时候,不...
如何解决高并发的用户请求带来的问题?分布式解决方案
11-09 1005
用需求上来看分布式的 垂直伸缩与水平伸缩 垂直伸缩 为了应对并发用户访问带来的系统资源消耗,一种解决办法是垂直伸缩。所谓的垂直伸缩就是提升单台服务器的处理能力,比如用更快频率的 CPU,用更多核的 CPU,用更大的内存,用更快的网卡,用更多的磁盘组成一台服务器,使单台服务器的处理能力得到提升。通过这种手段提升系统的处理能力。 但是,一方面,受计算机硬件科技水平的制约,单台服务器的计算能力并不能无限增加,不能满足高并发的需求;另一方面,垂直伸缩带来的价格成本和服务器的处理能力并不一定呈线性关系。 水平伸缩
HTML5安全风险详析
fstudio
12-06 2431
HTML5安全风险详析之一:CORS攻击 一、从SOP到CORS SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示: 后来出现了CORS
并发操作的数据安全问题
is_Javaer的博客
11-26 773
多线程运行环境下肯定存在并发,会存在一个对象被多个线程同时操作(对同一数据的存取)的情况,这样如果不加以控制,很容易存在数据安全问题。 下面以一个银行转账的例子来说明并发可能存在的问题: 模拟账户–Account类: public class Account { private String name;//名字 private double money;//余额 //构造方法 publ...
@Transactional 事务不生效原因
yanziyu0721730的博客
03-30 661
1.方法不是public的 2.事务被try() catch{} 吃掉了 3.数据库引擎不支持事务 4.没有被 Spring 管理 类上面么有@service 或者@compent 5. 自身调用的问题 6. 数据源没有配置事务管理器 @Transactional 实现原理: 1) 事务开始时,通过AOP机制,生成一个代理connection对象, 并将其放入 DataSource 实例的某个与 DataSourceTransactionManager 相关的某处容器中。 在接下来的整个事
大数据量下高并发同步的讲解(不看,保证你后悔)
weixin_34253539的博客
04-23 247
文章转于 http://www.cnblogs.com/xiohao/p/4385508.html1、常见并发同步案例分析 案例一:订票系统案例,某航班只有一张机票,假定有1w个人打开你的网站来订票,问你如何解决并发问题(可扩展到任何高并发网站要考虑 的并发读写问题) 问题,1w个人来访问,票没出去前要保证大家都能看到有票,不可能一个...
优化Web请求:异步处理与依赖管理降低风险
"Web请求异步处理降低依赖风险" 在现代Web应用开发中,系统间的依赖性日益增强,从数据库到第三方服务,每个组件都可能成为性能瓶颈或故障点。"Web请求异步处理降低依赖风险"这个话题关注的是如何在面临第三方服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值