Как предотвратить списание средств сверх доступного баланса?

Question

Проверка баланса должна выполняться внутри транзакции, а не в коде приложения. Иначе два параллельных запроса могут пройти проверку одновременно. Обычно используют блокировки строк или атомарные SQL-операции. Это гарантирует, что баланс не уйдёт в минус.

YeaHub · Accepted Answer

Ключевая проблемаПроверка вида if balance >= amount вне транзакции небезопасна.Основные способы защитыПеред выбором подхода важно учитывать уровень конкуренции.Блокировка строкиSELECT ... FOR UPDATEзащита от параллельных измененийАтомарный UPDATEобновление только при достаточном балансепроверка и списание в одном запросеПроверка результата операциианализ количества затронутых строкоткат при неуспехеПример безопасного списанияUPDATE users
SET balance = balance - 100
WHERE id = :user_id AND balance >= 100;
Если обновлено 0 строк — средств недостаточно.ВыводЗащита от перерасхода баланса должна быть реализована на уровне базы данных, а не только в бизнес-логике.