[[327360]]

故事背景

前陣子，有位朋友在微信上問我數(shù)據(jù)被刪了能不能恢復(fù)，我問了下原因，居然是因為一個配置項惹的禍。

故事細(xì)節(jié)

在 Spring Boot 中使用 jpa 來操作數(shù)據(jù)庫，jpa 就不做詳細(xì)的介紹了，相信大家都有所了解或者也用過。

在 jpa 中有一個配置項，可以讓程序在啟動的時候自動初始化表結(jié)構(gòu)或者更新表結(jié)構(gòu)的功能。聽上去很不錯，非常實用。

其實這是一個非常危險的功能，個人覺得不應(yīng)該提供這種功能，只要留了口子就有可能會出問題。

這個配置就是： spring.jpa.hibernate.ddl-auto

• create（ 危險系數(shù) 2 顆星 ）

應(yīng)用啟動的時候，如果數(shù)據(jù)庫中沒有對應(yīng)的表，就會自動根據(jù)實體類的結(jié)構(gòu)創(chuàng)建一個表結(jié)構(gòu)。如果表已經(jīng)存在了就會將表中的數(shù)據(jù)清空。

• create-drop（ 危險系數(shù) 3 顆星 ）

應(yīng)用啟動的時候，如果數(shù)據(jù)庫中沒有對應(yīng)的表，就會自動根據(jù)實體類的結(jié)構(gòu)創(chuàng)建一個表結(jié)構(gòu)。如果表已經(jīng)存在了就會將表中的數(shù)據(jù)清空。

程序停止的時候會將數(shù)據(jù)庫中所有表刪除掉。

• update（ 危險系數(shù) 1 顆星 ）

應(yīng)用啟動的時候，如果數(shù)據(jù)庫中沒有對應(yīng)的表，就會自動根據(jù)實體類的結(jié)構(gòu)創(chuàng)建一個表結(jié)構(gòu)。如果表已經(jīng)存在了就會判斷有沒有新增字段或者修改長度之類的，如果有則會更新表結(jié)構(gòu)，不會影響數(shù)據(jù)。

• validate（ 危險系數(shù) 0 顆星 ）

validate 不會更新和刪除表或者數(shù)據(jù)，只會做驗證邏輯。

• none （ 危險系數(shù) 0 顆星 ）

禁用 ddl 操作。

如何防范

這種問題歸根到底還是技術(shù)負(fù)責(zé)人沒重視線上安全問題，主要有下面幾點：

• 數(shù)據(jù)沒備份

線上數(shù)據(jù)一定要有備份，而且備份得放在不同的機器上，降低風(fēng)險值。

• 數(shù)據(jù)庫賬號權(quán)限細(xì)分，不給刪除權(quán)限，業(yè)務(wù)做邏輯刪除

如果公司有 DBA 那么可能會好點，對數(shù)據(jù)庫相關(guān)的安全會管控的比較嚴(yán)。如果沒有 DBA，基本上都是開發(fā)自己管理，技術(shù)負(fù)責(zé)人應(yīng)該去做這件事情。

一般的開發(fā)人員可以給只讀賬號就行了，偶爾線上查查數(shù)據(jù)之類的。

另外需要有一個讀寫的賬號，用于程序中。

像刪除，DDL 操作這種權(quán)限就留給管理員賬號就行了，不然很容易出事。

• 應(yīng)用中的框架有 DDL 操作的功能，一律禁止使用

這次的問題，除了開發(fā)人員的大意，最主要就是框架中自帶了 DDL 的功能。像這種功能就應(yīng)該禁止使用。

所有的表結(jié)構(gòu)應(yīng)該在上線之前確認(rèn)好，最好手動執(zhí)行，像 DDL 這種操作本身就會鎖表，應(yīng)該在業(yè)務(wù)低峰期去做。交給程序自動做不靠譜。

我記得我們之前在代碼中也有去自動創(chuàng)建表的邏輯，在 code review 的時候被指了出來，然后就去掉了。雖然說是為了使用更方便，但是增加了線上數(shù)據(jù)庫的風(fēng)險。像一些開源框架中也有類似的邏輯，當(dāng)表不存在時會自動給你創(chuàng)建好表。