PrepBro
← Назад к вопросам

Может ли Backend делать неправильный запрос к базе данных?

1.0 Junior🔥 141 комментариев
#Инструменты тестирования#Теория тестирования

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Может ли Backend делать неправильный запрос к базе данных?

Да, безусловно. Backend-приложение может генерировать некорректные, неоптимальные или даже опасные запросы к базе данных. Это одна из ключевых областей внимания для QA-инженера при тестировании backend-сервисов. Понятие "неправильный запрос" можно разделить на несколько категорий: синтаксические ошибки, логические ошибки, проблемы с производительностью и уязвимости безопасности.

Основные типы неправильных запросов

1. Синтаксические и логические ошибки

  • Некорректный SQL/DQL: Ошибки в написании ключевых слов (SELCT вместо SELECT), неправильное количество аргументов в функциях, нарушение порядка предложений (WHERE после ORDER BY).
  • Нарушение типов данных: Попытка вставить строку ('abc') в числовое поле или сравнить дату с булевым значением.
  • Логические ошибки в условиях WHERE: Например, запрос SELECT * FROM users WHERE age = 30 AND age = 40 никогда не вернет данных, но будет синтаксически корректным. Это логическая ошибка.
  • Ошибки JOIN: Неверное указание условий связывания таблиц, ведущее к декартову произведению (CROSS JOIN) и огромным нерелевантным результатам.

2. Запросы, ведущие к проблемам с производительностью

  • Отсутствие индексов на полях, используемых в WHERE, JOIN и ORDER BY: Это заставляет СУБД выполнять полное сканирование таблицы (FULL TABLE SCAN), что крайне ресурсоемко.

  • SELECT * без ограничений: Получение всех полей и всех строк из большой таблицы может привести к исчерпанию памяти, высокой нагрузке на сеть и диски.

  • N+1 проблема: Типичная ошибка в ORM (например, Hibernate, Django ORM), когда для получения связанных данных вместо одного запроса с JOIN генерируется множество маленьких запросов.

    // Пример N+1 проблемы на псевдокоде
List<User> users = entityManager.createQuery("SELECT u FROM User u").getResultList();
for (User user : users) {
    // Для КАЖДОГО пользователя выполняется отдельный запрос к БД!
    List<Order> orders = user.getOrders(); // Ленивая загрузка генерирует SELECT * FROM orders WHERE user_id = ?
}

3. Запросы, создающие уязвимости безопасности

  • SQL-инъекции: Наиболее критичная проблема. Возникает, когда пользовательский ввод напрямую подставляется в строку запроса без экранирования или использования параметризованных запросов.

    # ОПАСНО: Прямая конкатенация строк
query = f"SELECT * FROM users WHERE login = '{username}' AND password = '{password}'"
# Если username = ' OR '1'='1, запрос всегда вернет данные.

# БЕЗОПАСНО: Параметризованный запрос
cursor.execute("SELECT * FROM users WHERE login = %s AND password = %s", (username, password))

  • Недостаточная проверка прав доступа: Backend должен проверять права (authorization) до выполнения запроса. Ошибка — доверять этому только интерфейсу приложения или фронтенду.

4. Запросы, нарушающие целостность данных

  • Нарушение ограничений (CONSTRAINTS): NOT NULL, UNIQUE, FOREIGN KEY. Попытка вставить дубликат уникального поля или ссылку на несуществующую запись.
  • Некорректные транзакции: Отсутствие управления транзакциями в операциях, требующих атомарности, или, наоборот, излишне долгие транзакции, блокирующие другие операции.

Роль QA-инженера в выявлении таких проблем

  1. Тестирование граничных значений и невалидных входных данных: Ввод спецсимволов (', ;, --), очень длинных строк, отрицательных чисел, null в поля, которые их не ожидают. Отслеживание соответствующих ошибок СУБД в логах.
  2. Анализ логов БД и мониторинг производительности: Использование инструментов вроде EXPLAIN ANALYZE в PostgreSQL для анализа плана выполнения запроса. 
    EXPLAIN ANALYZE
SELECT * FROM orders
JOIN customers ON orders.customer_id = customers.id
WHERE customers.city = 'London';
  3. Нагрузочное тестирование: Выявление медленных запросов, которые не проявляются при unit-тестах, но "падают" под реальной нагрузкой. Использование профилировщиков запросов.
  4. Пентест-подход: Целенаправленные попытки внедрения SQL-инъекций в любой пользовательский ввод (формы, URL-параметры, заголовки).
  5. Рецензирование кода (Code Review): Внимание к участкам, где формируются SQL-запросы, особенно с конкатенацией строк, и к использованию ORM (проверка на N+1).

Заключение

Backend может и часто делает неправильные запросы к БД из-за ошибок в бизнес-логике, недостаточной валидации данных, незнания нюансов SQL или ORM, а также из-за требований к быстрой разработке в ущерб качеству. Задача QA-инженера — не ограничиваться проверкой "счастливого пути" (happy path), а системно подходить к поиску таких дефектов на всех уровнях тестирования: модульном, интеграционном, системном и в рамках нагрузочного/безопасностного тестирования. Понимание принципов работы СУБД и умение читать логи БД являются критически важными навыками для эффективного QA backend-приложений.