在 CodeIgniter 中处理并发请求答案

【问题标题】：Dealing with concurrent requests in CodeIgniter在 CodeIgniter 中处理并发请求
【发布时间】：2015-08-16 23:56:30
【问题描述】：

假设我使用 CodeIgniter/PHP 和 MySQL 创建了一个在线银行系统，并且有以下内容可以从我的银行账户中提取资金：

function withdraw($user_id, $amount) {
    $amount = (int)$amount;

    // make sure we have enough in the bank account
    $balance = $this->db->where('user_id', $user_id)
                        ->get('bank_account')->balance;
    if ($balance < $amount) {
        return false;
    }

    // take the money out of the bank
    $this->db->where('user_id', $user_id)
             ->set('balance', 'balance-'.$amount, false)
             ->update('bank_account');

    // put the money in the wallet
    $this->db->where('user_id', $user_id)
             ->set('balance', 'balance+'.$amount, false)
             ->update('wallet');

    return true;
}

首先，我们检查用户是否可以执行提款，然后我们从账户中减去，然后我们添加到钱包中。

问题是我几乎可以同时发送多个请求（这对于使用curl 来说基本上是微不足道的）。每个请求都有自己的线程，所有线程都同时运行。因此，每个人都会检查我的银行是否有足够的钱（我会这样做），然后每个人都会进行取款。结果，如果我开始余额为 100，并且我同时发送两个 curl 请求导致提取 100，那么我的钱包中最终有 200 和银行帐户中的 -100，这应该是不可能的。

解决此类TOCTOU漏洞的正确“CodeIgniter”方法是什么？

【问题讨论】：

标签： php mysql codeigniter session

【解决方案1】：

我将bank_account 和wallet 表的存储引擎设置为具有事务支持的InnoDB，然后在SELECT 语句中包含FOR UPDATE 子句以在持续时间内锁定bank_account 表交易。

然后代码将类似于以下内容。

function withdraw($user_id, $amount) {
    $amount = (int)$amount;

    $this->db->trans_start();

    $query = $this->db->query("SELECT * FROM bank_account WHERE user_id = $user_id AND balance >= $amount FOR UPDATE");

    if($query->num_rows() === 0) {
        $this->db->trans_complete();
        return false;
    }

    $this->db->where('user_id', $user_id)
             ->set('balance', 'balance-'.$amount, false)
             ->update('bank_account');

    $this->db->where('user_id', $user_id)
             ->set('balance', 'balance+'.$amount, false)
             ->update('wallet');

    $this->db->trans_complete();

    return true;
}

【讨论】：

根据文档 (codeigniter.com/userguide3/database/transactions.html)，“他们要求您跟踪查询并根据查询的成功或失败确定是提交还是回滚”。因此，除非我弄错了，否则这将没有任何效果，因为所有命令都不会失败。
您误读了那句话并跳过了下一句...“这对于嵌套查询特别麻烦。相比之下，我们已经实现了一个智能交易系统，它会自动为您完成所有这些（您也可以如果您愿意，可以手动管理您的交易，但实际上没有任何好处）。”
我想我还是不明白。我不关心失败的查询和回滚，但关心的是check-then-withdraw 的非原子性质。我在之前的评论中链接到的 CI 文档对原子性或锁只字未提。事务是否保证原子性/句柄锁定/等？它如何知道要锁定哪些表？
根据 InnoDB 的文档，事务是原子的和隔离的，所以我想我应该继续测试它：我将 bank_accont 和 wallet 都转换为 InnoDB 并替换了我的 lock tables与$this->db->trans_start() 和我的unlock tables 与$this->db->trans_complete()。我现在再次能够双重提款，因此可以确认数据库不将检查和提款视为原子操作。
@Mala，我在上面提供的 SELECT 语句中的 FOR UPDATE 至关重要。我上面的代码应该对 bank_account 表执行锁定。我应该在原始答案中突出显示 FOR UPDATE 以便更清楚。答案已更新。您是否在测试中包含 FOR UPDATE 子句？

【解决方案2】：

我要找的是table locking。

为了保证这个函数的安全，我需要在函数开始时锁定表，然后在结束时释放它们：

function withdraw($user_id, $amount) {
    $amount = (int)$amount;

    // lock the needed tables
    $this->db->query('lock tables bank_account write, wallet write');

    // make sure we have enough in the bank account
    $balance = $this->db->where('user_id', $user_id)
                        ->get('bank_account')->balance;
    if ($balance < $amount) {
        // release the locks
        $this->db->query('unlock tables');
        return false;
    }

    // take the money out of the bank
    $this->db->where('user_id', $user_id)
             ->set('balance', 'balance-'.$amount, false)
             ->update('bank_account');

    // put the money in the wallet
    $this->db->where('user_id', $user_id)
             ->set('balance', 'balance+'.$amount, false)
             ->update('wallet');

    // release the locks
    $this->db->query('unlock tables');

    return true;
}

这会使任何其他 MySQL 连接对所述表的写入尝试挂起，直到锁被释放。

【讨论】：

这是你的答案还是问题