Нужно ли использовать блокировку при запросах?

Question

[miki131]

Возможна ли атака с параллельными запросами в коде ниже?
Когда проверял вручную то все нормально снималось.

var
    knex        = require('knex')({ client: 'mysql', connection: config.DB }),
    bookshelf   = require('bookshelf')(knex);

var User = bookshelf.Model.extend({
    tableName: 'users'
});

var app = express();

app.all('/', function(req, res) {
    var data = req.query;

    data.sum = Math.abs(Math.ceil(data.sum)) || 0;

    if (!data.sum) return res.json({ status: 'error', code: 'sum' });

    User
        .where({id: data.id})
        .fetch()
        .then(function(user) {
            if (!user) return res.json({ status: 'error', code: 'user not found' });

            // если у пользователя достаточно на балансе, тогда делаем то что нам нужно
            if (user.get('balance') < data.sum) return res.json({ status: 'error', code: 'NO_BALANCE' });

            user
                .save({balance: user.get('balance') - data.sum}, {patched: true})
                .then(function(user) {
                    console.log('сняли', data.sum, 'новый баланс', user.get('balance'));
                    res.json({ status: 'success', balance: user.get('balance') });
                });
        })
});

Answer 1

[Дмитрий Беляев]

Блокировка будет костылем
А уязвимость налицо, начиная с того что я могу списываемую сумму подделать

Comments

[miki131]

Сумма указывается пользователем - это так задумано.
А что не будет костылем?

[Дмитрий Беляев]

miki131: надеюсь Ваша ОРМ умеет отправлять нативные запросы?

UPDATE `users` SET `balance`=`balance`-{data.sum} WHERE `id`={data.id} AND `balance`>={data.sum}

Где в фигурных скобках подстановки данных, например через PREPARED STATEMENT
Успешность проверяем по количеству затронутых запросом строк, которое будет либо 0 либо 1