事务 和 锁 同时使用时的注意点,你可能没有发现的漏洞

已于 2024-10-06 19:01:17 修改
阅读量248 收藏 4
点赞数 12
文章标签: java 后端 数据结构 算法 java-ee spring
于 2024-10-06 18:56:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54408759/article/details/142730409
版权

事务和锁同时应用

事务(Transaction)和 锁(Lock)同时使用时,应该保证 锁 包含 事务,避免 事务 包含 锁。

漏洞示例一

下面这段代码,主要是通过锁保证一次只有一个线程进来更改数据,将数据从 “old data” 更新成 “new data”,同时通过事务保证数据库操作的原子性,但是这里存在一个漏洞。

假设,T1 获取锁,修改数据,释放锁之后,如果 T1 发生了等待(例如,CPU 时间片轮转),事务还没有提交,即还是 “old data”;此时 T2 获取锁进来,发现还是 “old data”,就又会去执行修改;等 T1 恢复执行后,就会提交事务,将刚刚 T2 的修改覆盖掉。

@Resource
private UserDao userDao;

@Transactional
public void test() {
    boolean isAcquire = lock.acquire();
    if (!isAcquire) {
        return;
    }

    // 2. T2 running here
    if (StrUtil.equals(userDao.getData(), "new data")) {
        return;
    }
    
    try {
        userDao.updData("new data")
    } finally {
        lock.release();
        // 1. T1 waiting here
    }
}

漏洞示例二

区别于上一段代码,这一段使用了完全的双检索(Double Check Lock),在获取锁的前后进行一次检查操作,此时就会因为 Mysql 的 RR 事务隔离级别导致脏读问题。

假设,T1 获取到锁,正在执行修改;T2 也进来了,执行了第一次 Check,生成了一个 Page View,Page View 里存储的是 “old data”;T1 执行完修改,将 “new data” 修改为了 “old data”,释放锁,提交事务;T2 获取到锁,执行第二次 Check 时就会存在问题,由于采用的是 RR 事务隔离级别,当生成一个 Page View 后,就不会再去生成新的 Page View,所以 T2 在第二次 Check 时,查询到的是 “old data”,而非刚刚 T1 修改的 “new data”。

@Resource
private UserDao userDao;

@Transactional
public void test() {
    if (StrUtil.equals(userDao.getData(), "new data")) {
        return;
    }

    // 2. T2 running here
    boolean isAcquire = lock.acquire();
    if (!isAcquire) {
        return;
    }

    // 4. T2 running here, dirty reading
    if (StrUtil.equals(userDao.getData(), "new data")) {
        return;
    }
    try {
        // 1. T1 running here
        userDao.updData("new data")
    } finally {
        lock.release();
    }
}
// 3. T2 running here

锁包含事务解决漏洞

由此,我们可以发现在事务内部使用锁,会导致非常多的问题,当我们在锁内部使用事务时,这一切就都不是问题了。

@Resource
private UserDao userDao;
@Lazy
@Resource
private UserService self;

public void test() {
    boolean isAcquire = lock.acquire();
    if (!isAcquire) {
        return;
    }
    
    if (StrUtil.equals(userDao.getData(), "new data")) {
        return;
    }
    
    try {
        self.updData();
    } finally {
        lock.release();
    }
}

@Transactional
public void updData() {
    userDao.updData("new data")
}

除了上面这种通过 @Transactional 注解实现声名式的事务,也可以采用编程式事务解决问题。

@Resource
private UserDao userDao;
@Resource
private UserService userService;

public void test() {
    boolean isAcquire = lock.acquire();
    if (!isAcquire) {
        return;
    }
    if (StrUtil.equals(userDao.getData(), "new data")) {
        return;
    }
    try {
        transactionTemplate.execute((status) -> {
            userDao.updData("new data")
            return null;
        });
    } finally {
        lock.release();
    }
}
HarveySuen
关注
解决数据库事务: 构建高效、可靠和灵活的事务管理系统(三)
凛鼕将至的博客
04-07 989
在软件开发过程中,数据库事务管理是一项非常重要的工作。事务是一组数据库操作的集合,要么全部成功执行,要么全部失败回滚。事务的正确执行对于保障数据的完整性和一致性至关重要。Java作为一种广泛应用于企业级开发的语言,提供了多种处理事务的方法和工具。本文将跟随《解决数据库事务: 构建高效、可靠和灵活的事务管理系统(二)》的进度,继续介绍数据库事务
区块链常见漏洞万字总结【Web3从业者必备】
FeelTouch Labs
01-10 4038
在自私挖矿攻击(也称为区块扣留)中,攻击者在自己的区块链分叉中挖掘区块,并且不将它们发布到网络。当攻击者计算出一定数量的区块,再将它们发布到网络中,并尝试替代主链。例如,拥有超过 51% 算力的攻击者可以分叉主链并在他的分叉上开始挖矿。攻击者在获得记账权的候,利用自己手中的权利实施一些计算或者一些操作让系统的随机数产生偏斜,来增加自己下一次获得记账权的可能。攻击者可以利用这些信息来破坏网络中的节或路由的可用性。攻击者切断了受害者与外界网络间的所有传入和传出的连接,将受害者与网络中的其他节隔离开来。
逻辑类漏洞挖掘指南
莫慌的博客
07-17 941
逻辑类漏洞严格的说不算传统漏洞,它是基于程序逻辑产生,本身并不是bug,但是但是逻辑不严禁确实也产生了安全风险,逻辑漏洞漏洞挖掘中属于必测的环境,下面就总结一下常见的逻辑漏洞
3种使用MQ实现分布式事务的方式
温安适的专栏
12-10 1961
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> 1.保证消息传递与一致性 1.1生产者确保消息自主性 当生产者发送一条消息,它必须完成他的所有业务操作。 如下图: 这保证消费者接受到消息,生产者已处理完毕相关业务,也就是1PC的基础。 1.2 MQ保存并转发消息 消息标记为持久化,MQ将会利用保存并转发机制,来履行它与发送者之间的契...
【数据库管理】十分钟了解啥是三级封协议、X和S
师兄怎么办
06-26 6233
有了这两把之后,新的问题又出现了:怎么知道什么情况下要用什么?什么候要用?什么候不用?上之后什么候解最合适?……而神奇的“三级封协议”,就是为了告诉你什么情况下用什么可以解决什么问题,只要事务们都按照协议的规则去做,就可以避免诸如更新丢失、读取脏数据或者不可重复读取数据等问题。本身只限制其他事务对数据的加权限,而限制事务对数据的读写操作,是通过+封协议来实现的。
【面试】互联网软件研发岗位,面试内容准备方向(技术面试考察
小哈里的博客
02-11 1800
【面试】互联网软件研发岗位,面试内容准备方向(技术面试考察) 文章目录 1、简历筛选与面试评价 2、面试内容(通用 & 沟通表达) 3、面试内容(八股 & 基础知识) 4、面试内容(项目 & 解决问题) 5、面试内容(后端) 6、面试内容(前端)
彻底给你讲清楚分布式事务原理
LoveSummer
04-29 595
0. 前言 从 CPU 到内存、到磁盘、到操作系统、到网络,计算机系统处处存在不可靠因素。工程师和科学家努力使用各种软硬件方法对抗这种不可靠因素,保证数据和指令被正确地处理。在网络领域有 TCP 可靠传输协议、在存储领域有 Raid5 和 Raid6 算法、在数据库领域有 基于 ARIES 算法理论实现的事务机制…… 这篇文章先介绍单机数据库事务的 ACID 特性,然后指出分布式场景下操作多数据源面临的困境,引出分布式系统中常用的分布式事务解决方案,这些解决方案可以保证业务代码在操作多个数据源的候,能够像
优秀工程师必备的一项技能,你解了吗?
HollisChuang's Blog
06-17 1276
本文经授权转载自微信公众号:阿里技术阿里妹导读:很多程序员在工作一段间后会遇到迷茫期,虽有技术傍身,也难免会产生焦虑,反复思考怎样才能快速成长。关于如何提高自己的思考力...
一文彻底说明分布式事务原理
Bruce小鬼
08-04 769
一文彻底说明分布式事务原理 文章目录一文彻底说明分布式事务原理1. 前言2. 单数据源事务 & 多数据源事务2. 常见分布式事务解决方案2.1. 分布式事务模型2.2. 二将军问题和幂等性2.3. 两阶段提交(2PC) & 三阶段提交(3PC)方案2.4. TCC 方案2.5. 事务状态表方案2.6. 基于消息中间件的最终一致性事务方案3. Seata in AT mode 的实现3.1. Seata in AT mode 工作流程概述3.2. Seata in AT mode 工作流程详述
MySQL性能瓶颈!超实用的10种优化方法大揭秘
热门推荐
Lion_Long的博客
07-13 1万+
本文涵盖了索引设计、SQL查询优化、缓存配置、并发控制等多个方面。读者可以通过阅读该文章,了解如何有效地解决MySQL性能问题,并提升系统的响应速度和稳定性。 以上仅为MySQL性能监控和调优的一些常用方法,实际应用中还需要结合具体场景和实际需求来选择和优化相应的策略。建议在进行性能优化前,先对数据库系统进行全面的评估和分析,并考虑合适的监控工具和方法。
基于MySQL的分布式事务的应用和缺陷.pdf
08-10
总之,尽管MySQL的分布式事务提供了确保数据一致性的重要功能,但在使用,开发者和技术人员应密切注意其潜在缺陷并采取相应的应对策略,以避免数据不一致等风险,同也要关注MySQL未来版本中分布式事务功能的改进...
改造问题管理应用修复并发执行漏洞的考虑
06-10
1. 数据库事务使用数据库事务可以确保在同一间只有一个用户可以访问和修改特定的数据。这可以防止并发执行漏洞。我们可以使用数据库事务来处理我们的应用程序中的并发操作。 2. 加:另一种方式是在代码中使用...
1.4 w字,25 张图让你彻底掌握分布式事务原理
澎湖Java架构师的博客
06-14 336
本文提纲如下0. 前言1. 单数据源事务 & 多数据源事务2. 常见分布式事务解决方案2.1. 分布式事务模型2.2. 二将军问题和幂等性2.3. 两阶段提交(2PC) & 三阶段提交(3PC)方案2.4. TCC 方案2.5. 事务状态表方案2.6. 基于消息中间件的最终一致性事务方案3. Seata in AT mode 的实现3.1. Seata in AT mode 工作流程概述3.2. Seata in AT mode 工作流程详述4. 结束语从 CPU 到内存、到磁盘、到操作系统、到网络,计算机
软考数据库第十二章事务管理
qq_57150628的博客
05-05 787
事务:是一系列的数据库操作,是数据库应用程序的逻辑单位,即应用程序对数据库的操作都应该以事务的方式进行。事务是一个操作序列,这些操作“要么都做,要么都不做”。事务定义的语句如下:(1)BEGIN TRANSACTION:事务开始。(2)END TRANSACTION:事务结束。(3)COMMIT:事务提交。该操作表示事务成功地结束,它将通知事务管理器该事务的所有更新操作现在可以被提交或永久地保留。(4)ROLLBACK:事务回滚。
C语言 | 第十章 | 函数 作用域
最新发布
ZJC744575的博客
10-05 911
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 439
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 834
HTTP连接需要进行TCP三次握手,是一个比较耗的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
java将word转pdf
紫月7575的博客
09-30 527
java将word转pdf
spring-boot 整合 mybatis
m0_72168501的博客
09-29 546
spring boot 整合 mybatis
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值