标签:
一、总结
二、BUG描述:else逻辑未补全,倒置查询数据泄露
在查询筛选参数的时候,有如下逻辑:
if (StringUtils.isNotBlank(logisticsOrder.getParentIds())) { // 所属复合单 String[] ids = SqlStringUtil.sliptQueryStr(logisticsOrder.getParentIds()); for (String id : ids) { if (!StringUtils.isNumeric(id)) { throw new ServiceException(ErrorCode.param_number); } } List<Integer> orderIds = assetBeanMapperExt.getOrderIdsByParentIds(SqlStringUtil.formatInStr(logisticsOrder.getParentIds())); if (CollectionUtils.isNotEmpty(orderIds)) { StringBuffer sb = new StringBuffer(); for (Integer orderId : orderIds) { sb.append(orderId.toString()); sb.append(","); } if (StringUtils.isBlank(logisticsOrder.getQueryIds())) { _map_result.put("queryIds", sb.substring(0, sb.length() - 1)); } else { // 工单编号、所属复核单 同时查询 _map_result.put("queryIds", sb.append(SqlStringUtil.formatInStr(logisticsOrder.getQueryIds())).toString()); } } else { _map_result.put("queryIds", "-1"); } }
由于未补全orderIds为空的逻辑,导致没有把参数传入,因此全量数据被查询了出来。因此要补全else情况,插入“-1”,做为查询条件。但这里同时要注意,如果数据库中该字段是无符号整型,那么就不可以这样做了。
三、BUG描述:
标签:
原文地址:http://www.cnblogs.com/RunForLove/p/5824877.html
