首页 > 代码库 > 记录一次bug解决过程:else未补全导致数据泄露
记录一次bug解决过程:else未补全导致数据泄露
一、总结
- 快捷键ctrl + alt + 四个方向键 --> 倒置屏幕
- 未补全else逻辑,倒置查询数据泄露
二、BUG描述:else逻辑未补全,倒置查询数据泄露
在查询筛选参数的时候,有如下逻辑:
if (StringUtils.isNotBlank(logisticsOrder.getParentIds())) { // 所属复合单 String[] ids = SqlStringUtil.sliptQueryStr(logisticsOrder.getParentIds()); for (String id : ids) { if (!StringUtils.isNumeric(id)) { throw new ServiceException(ErrorCode.param_number); } } List<Integer> orderIds = assetBeanMapperExt.getOrderIdsByParentIds(SqlStringUtil.formatInStr(logisticsOrder.getParentIds())); if (CollectionUtils.isNotEmpty(orderIds)) { StringBuffer sb = new StringBuffer(); for (Integer orderId : orderIds) { sb.append(orderId.toString()); sb.append(","); } if (StringUtils.isBlank(logisticsOrder.getQueryIds())) { _map_result.put("queryIds", sb.substring(0, sb.length() - 1)); } else { // 工单编号、所属复核单 同时查询 _map_result.put("queryIds", sb.append(SqlStringUtil.formatInStr(logisticsOrder.getQueryIds())).toString()); } } else { _map_result.put("queryIds", "-1"); } }
由于未补全orderIds为空的逻辑,导致没有把参数传入,因此全量数据被查询了出来。因此要补全else情况,插入“-1”,做为查询条件。但这里同时要注意,如果数据库中该字段是无符号整型,那么就不可以这样做了。
三、BUG描述:
记录一次bug解决过程:else未补全导致数据泄露
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。