php - 在数据库中获取网站的访问者详细信息，但相同的 IP 地址被保存多次

Question

这是创建数据库

CREATE TABLE `xxx`.`track`(`id_stat` smallint(6) unsigned NOT NULL auto_increment,
                          `v_ip` varchar(15) collate utf8_unicode_ci NOT NULL,
                          `v_time` datetime NOT NULL default '0000-00-00 00:00:00',
                          `v_ref` varchar(200) collate utf8_unicode_ci NOT NULL,
                          `v_agent` varchar(100) collate utf8_unicode_ci NOT NULL,
                          `v_url` varchar(100) collate utf8_unicode_ci NOT NULL,
                           PRIMARY KEY (`id_stat`)
               ) ENGINE = MyISAM DEFAULT CHARSET = utf8 COLLATE = utf8_unicode_ci;

这是 php 代码，但不起作用。请告诉我我在这里犯了什么错误

<?php
$stsip = $_SERVER['REMOTE_ADDR'];
$stagent = $_SERVER['HTTP_USER_AGENT'];
$sturl = $_SERVER['REQUEST_URL'];
$stref = $_SERVER['HTTP_REFERER'];
$stuser="abc";
$stpass = "thanks";
$sthost="localhost";

$stdb= "visitorsrecord";

$sttable="track";
$handle = mysql_connect("$sthost",$stuser,$stpass) or die("Connection Failure to Database");
mysql_select_db($stdb,$handle) or die ($stdb."Database not found.".$stuser);
mysql_query("insert into $sttable(v_time, v_ip, v_agent, v_url, v_ref) values(NOW(), '".$stsip."', '".$stagent."','".$sturl."', '".$stref."')");
mysql_close($handle);

?>

现在代码工作正常。但现在我面临的问题是。如果有人打开该网站，那么我会在数据库中收到一个条目，但如果他进一步打开，则会出现另一个条目。但我只想每天记录唯一的 IP 地址。

Answer 1

(我在这里提供部分答案，重点关注此代码中的 SQL 注入(inject)漏洞)。

第一部分是重置浏览器中的用户代理字符串。有一些插件可以实现此目的，在 Firefox 中，您还可以访问 about:config 查看内部设置，并且可以在此处手动编辑。尝试重置您的浏览器以获得用户代理字符串My Browser'(注意不匹配的引号)。

然后运行上面的代码。您将有效地执行这部分 SQL:values(NOW(), '1.2.3.4', 'My Browser'', 'url', 'referrer')。仔细看看它 - 请也尝试一下 - 不匹配的引号已被注入(inject)。事实上，引用者也可以很容易地被伪造来做到这一点，也许 URL 字段也是如此。

这个例子只会导致数据库错误。根据您配置实时服务器的方式，这可能会导致屏幕上出现错误，从而为攻击者提供有用的信息。

无论幸运还是偶然，此数据库不可能在同一个查询中运行多个 SQL 命令。这可以让您免受最具破坏性的注入(inject)，其工作原理如下:

referrer = My Browser', '', ''); DELETE FROM track; --

如果图书馆允许的话，在这种情况下会发生什么？好吧，它将完成现有查询直到第一个分号，然后尽职地删除刚刚插入的表中的所有内容。最后的 -- 注释会将实际查询的其余部分修改为注释。

但是，绝对不建议依赖无法做到这一点的库。导致错误已经够糟糕的了，而且攻击者可能会注入(inject)并运行 MySQL 函数，这可能不安全。对于用于实现安全功能(例如登录)的表，他们可能会注入(inject)自己的管理员帐户等。

这里最快的解决方案是转义您的输入，因此不可能这样做。尝试对所有输入执行此操作:

$stagent = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']);

这将格式化特殊字符 - 特别是撇号 - 以便它们被视为字符串的一部分，而不是分隔符。对所有服务器变量执行此操作，即使您认为它们不需要它 - 最糟糕的是它什么也做不了。

最后，这种转义和连接的方法主要可以保护您，但从安全角度来看，参数化被认为更加安全。不幸的是，这个库不支持它，并且由于它已被弃用(并在 PHP 7 中删除)，因此当您有机会时值得迁移到 PDO/mysql 或 MySQLi。

进一步阅读:How can I prevent SQL-injection in PHP?