记录一次bug解决过程:else未补全导致数据泄露

Posted 为爱奔跑

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记录一次bug解决过程:else未补全导致数据泄露相关的知识,希望对你有一定的参考价值。

一、总结

  1. 快捷键ctrl + alt + 四个方向键 --> 倒置屏幕
  2. 未补全else逻辑,倒置查询数据泄露

二、BUG描述:else逻辑未补全,倒置查询数据泄露

在查询筛选参数的时候,有如下逻辑:

            if (StringUtils.isNotBlank(logisticsOrder.getParentIds())) { // 所属复合单
                String[] ids = SqlStringUtil.sliptQueryStr(logisticsOrder.getParentIds());
                for (String id : ids) {
                    if (!StringUtils.isNumeric(id)) {
                        throw new ServiceException(ErrorCode.param_number);
                    }
                }

                List<Integer> orderIds = assetBeanMapperExt.getOrderIdsByParentIds(SqlStringUtil.formatInStr(logisticsOrder.getParentIds()));

                if (CollectionUtils.isNotEmpty(orderIds)) {
                    StringBuffer sb = new StringBuffer();
                    for (Integer orderId : orderIds) {
                        sb.append(orderId.toString());
                        sb.append(",");
                    }
                    if (StringUtils.isBlank(logisticsOrder.getQueryIds())) {
                        _map_result.put("queryIds", sb.substring(0, sb.length() - 1));
                    } else { // 工单编号、所属复核单 同时查询
                        _map_result.put("queryIds",
                                        sb.append(SqlStringUtil.formatInStr(logisticsOrder.getQueryIds())).toString());
                    }
                } else {
                    _map_result.put("queryIds", "-1");
                }
            }

由于未补全orderIds为空的逻辑,导致没有把参数传入,因此全量数据被查询了出来。因此要补全else情况,插入“-1”,做为查询条件。但这里同时要注意,如果数据库中该字段是无符号整型,那么就不可以这样做了。

三、BUG描述:

以上是关于记录一次bug解决过程:else未补全导致数据泄露的主要内容,如果未能解决你的问题,请参考以下文章

记录一次bug解决过程:resultType和手动开启事务

记录一次bug解决过程:eclipse集成lombok插件

记录一次bug解决过程:eclipse Installed JREs 配置引出的问题

记录一次很有意思的bug

记录一次Sqlserver数据库订阅与发布过程中的报错解决过程

记一次Java的内存泄露分析