Postgres High的主要危险[关闭]

【问题标题】:Principal Peril at Postgres High [closed]Postgres High的主要危险[关闭]
【发布时间】:2017-01-05 01:55:30
【问题描述】:

在 Postgres High (PSD 9.6) 中,书呆子和欢乐合唱团陷入了一场奇怪的相互依赖的战争。书呆子们密谋反对欢乐合唱团的秘密计划。欢乐合唱团以悦耳的歌曲回应。

如果书呆子懦弱,欢乐合唱团永远不会回应。同样,书呆子只是想激怒欢乐合唱团,所以如果欢乐合唱团没有回应,书呆子实际上不会援引他们的秘密计划。

作为首席程序员,我的工作是确保一次只发生一次可能的书呆子叛乱尝试。我还必须确保书呆子都成功了,欢乐合唱团也成功了,或者都不成功。但是那些 麻烦的书呆子,总是尝试sql注入攻击。也得阻止。就像 Postgres High 的所有优秀领导者一样,我们用 SQL 编写课程计划。

课程计划:

begin;
-- stop race conditions with a hall monitor
select from semaphore where name = 'hall_monitor' for update;

prepare nerd_rebellion (
  text, -- secret_mission
  date -- when_we_strike
) as
  update ultimate_plan
    set secret_mission = $1
    where when_we_strike = $2;

prepare glee_club_counterstrike (
  text, -- happy_song
  boolean -- kill_them_with_love
) as
  insert into song_therapy (
    happy_song,
    kill_them_with_love
  ) values (
    $1,
    $2  
  )

execute nerd_rebellion(
  'Nerds do stuff like this ; drop table song_therapy --f you glee club',
  '2017-01-01'
);
execute glee_club_counterstrike(
  'god_bless_america',
  true
);
-- let us never speak of this again ...
deallocate nerd_rebellion
deallocate glee_club_counterstrike

-- all done. Release the hall monitor
commit;

天哪,校长要做的事情太多了。我们的课堂时间很短,我们有所有这些准备和分配。啊。真的减少了我的咖啡和甜甜圈时间。但是我需要将多个语句包装在一个事务中并使用信号量进行序列化。也不能在 SQL 注入上妥协。我没有看到更简单的解决方案。你?

【问题讨论】:

  • 人们不明白,这可能很快就会关闭。不过,我喜欢这个问题。

标签: sql postgresql concurrency transactions


【解决方案1】:

你没有确保书呆子成功。书呆子们可能会出局(UPDATE 可能找不到任何争吵),欢乐合唱团无论如何都会唱歌。

您可以使用数据修改 CTE 或在 plpgsql 函数中链接这两个命令,您可以在其中根据更新的成功进行插入。

这是校长可能使用的工具:

CREATE OR REPLACE FUNCTION nerd_strike(
      _secret_mission      text
    , _when_we_strike      date 
    , _happy_song          text
    , _kill_them_with_love boolean
   ) RETURNS void AS
$func$
BEGIN
   SELECT FROM semaphore WHERE name = 'hall_monitor' FOR UPDATE;

   UPDATE ultimate_plan
   SET    secret_mission = _secret_mission
   WHERE  when_we_strike = _when_we_strike;

   IF FOUND THEN  --  only if update actually succeeded
      INSERT INTO song_therapy (happy_song, kill_them_with_love)
      VALUES (_happy_song, _kill_them_with_love);
   END IF;
END
$func$  LANGUAGE plpgsql;

呼叫:

SELECT nerd_strike('Nerds do stuff like this ; drop table song_therapy --f you glee club'
                 , '2017-01-01'
                 , 'god_bless_america'
                 , true);

函数是原子的,所以一切都会发生或从未发生过。
参数作为 传递(很像准备好的语句),所以没有 SQL 注入的机会。

相关:

【讨论】:

  • 在这种情况下在函数级别控制原子性简直太棒了。谢谢你。我将聘请一位副总裁,打电话给他Burt_the_Nerd_Striker,并像校长一样委派职责。咖啡和甜甜圈让我心满意足。欢迎你加入我,欧文。我欠你一个。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2015-01-13
  • 1970-01-01
  • 2022-11-17
  • 1970-01-01
  • 2011-07-27
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode