首页 > 代码库 > 记录一次bug解决过程:else未补全导致数据泄露

记录一次bug解决过程:else未补全导致数据泄露

一、总结

  1. 快捷键ctrl + alt + 四个方向键 --> 倒置屏幕
  2. 未补全else逻辑,倒置查询数据泄露

二、BUG描述:else逻辑未补全,倒置查询数据泄露

在查询筛选参数的时候,有如下逻辑:

            if (StringUtils.isNotBlank(logisticsOrder.getParentIds())) { // 所属复合单                String[] ids = SqlStringUtil.sliptQueryStr(logisticsOrder.getParentIds());                for (String id : ids) {                    if (!StringUtils.isNumeric(id)) {                        throw new ServiceException(ErrorCode.param_number);                    }                }                List<Integer> orderIds = assetBeanMapperExt.getOrderIdsByParentIds(SqlStringUtil.formatInStr(logisticsOrder.getParentIds()));                if (CollectionUtils.isNotEmpty(orderIds)) {                    StringBuffer sb = new StringBuffer();                    for (Integer orderId : orderIds) {                        sb.append(orderId.toString());                        sb.append(",");                    }                    if (StringUtils.isBlank(logisticsOrder.getQueryIds())) {                        _map_result.put("queryIds", sb.substring(0, sb.length() - 1));                    } else { // 工单编号、所属复核单 同时查询                        _map_result.put("queryIds",                                        sb.append(SqlStringUtil.formatInStr(logisticsOrder.getQueryIds())).toString());                    }                } else {                    _map_result.put("queryIds", "-1");                }            }

由于未补全orderIds为空的逻辑,导致没有把参数传入,因此全量数据被查询了出来。因此要补全else情况,插入“-1”,做为查询条件。但这里同时要注意,如果数据库中该字段是无符号整型,那么就不可以这样做了。

三、BUG描述:

记录一次bug解决过程:else未补全导致数据泄露