gpt4 book ai didi

php - 在数据库中获取网站的访问者详细信息,但相同的 IP 地址被保存多次

转载 作者:行者123 更新时间:2023-11-29 21:40:36 24 4
gpt4 key购买 nike

这是创建数据库

CREATE TABLE `xxx`.`track`(`id_stat` smallint(6) unsigned NOT NULL auto_increment,
`v_ip` varchar(15) collate utf8_unicode_ci NOT NULL,
`v_time` datetime NOT NULL default '0000-00-00 00:00:00',
`v_ref` varchar(200) collate utf8_unicode_ci NOT NULL,
`v_agent` varchar(100) collate utf8_unicode_ci NOT NULL,
`v_url` varchar(100) collate utf8_unicode_ci NOT NULL,
PRIMARY KEY (`id_stat`)
) ENGINE = MyISAM DEFAULT CHARSET = utf8 COLLATE = utf8_unicode_ci;

这是 php 代码,但不起作用。请告诉我我在这里犯了什么错误

<?php
$stsip = $_SERVER['REMOTE_ADDR'];
$stagent = $_SERVER['HTTP_USER_AGENT'];
$sturl = $_SERVER['REQUEST_URL'];
$stref = $_SERVER['HTTP_REFERER'];
$stuser="abc";
$stpass = "thanks";
$sthost="localhost";

$stdb= "visitorsrecord";

$sttable="track";
$handle = mysql_connect("$sthost",$stuser,$stpass) or die("Connection Failure to Database");
mysql_select_db($stdb,$handle) or die ($stdb."Database not found.".$stuser);
mysql_query("insert into $sttable(v_time, v_ip, v_agent, v_url, v_ref) values(NOW(), '".$stsip."', '".$stagent."','".$sturl."', '".$stref."')");
mysql_close($handle);

?>

现在代码工作正常。但现在我面临的问题是。如果有人打开该网站,那么我会在数据库中收到一个条目,但如果他进一步打开,则会出现另一个条目。但我只想每天记录唯一的 IP 地址。

最佳答案

(我在这里提供部分答案,重点关注此代码中的 SQL 注入(inject)漏洞)。

第一部分是重置浏览器中的用户代理字符串。有一些插件可以实现此目的,在 Firefox 中,您还可以访问 about:config 查看内部设置,并且可以在此处手动编辑。尝试重置您的浏览器以获得用户代理字符串My Browser'(注意不匹配的引号)。

然后运行上面的代码。您将有效地执行这部分 SQL:values(NOW(), '1.2.3.4', 'My Browser'', 'url', 'referrer')。仔细看看它 - 请也尝试一下 - 不匹配的引号已被注入(inject)。事实上,引用者也可以很容易地被伪造来做到这一点,也许 URL 字段也是如此。

这个例子只会导致数据库错误。根据您配置实时服务器的方式,这可能会导致屏幕上出现错误,从而为攻击者提供有用的信息。

无论幸运还是偶然,此数据库不可能在同一个查询中运行多个 SQL 命令。这可以让您免受最具破坏性的注入(inject),其工作原理如下:

referrer = My Browser', '', ''); DELETE FROM track; --

如果图书馆允许的话,在这种情况下会发生什么?好吧,它将完成现有查询直到第一个分号,然后尽职地删除刚刚插入的表中的所有内容。最后的 -- 注释会将实际查询的其余部分修改为注释。

但是,绝对不建议依赖无法做到这一点的库。导致错误已经够糟糕的了,而且攻击者可能会注入(inject)并运行 MySQL 函数,这可能不安全。对于用于实现安全功能(例如登录)的表,他们可能会注入(inject)自己的管理员帐户等。

这里最快的解决方案是转义您的输入,因此不可能这样做。尝试对所有输入执行此操作:

$stagent = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']);

这将格式化特殊字符 - 特别是撇号 - 以便它们被视为字符串的一部分,而不是分隔符。对所有服务器变量执行此操作,即使您认为它们不需要它 - 最糟糕的是它什么也做不了。

最后,这种转义和连接的方法主要可以保护您,但从安全角度来看,参数化被认为更加安全。不幸的是,这个库不支持它,并且由于它已被弃用(并在 PHP 7 中删除),因此当您有机会时值得迁移到 PDO/mysql 或 MySQLi。

进一步阅读:How can I prevent SQL-injection in PHP?

关于php - 在数据库中获取网站的访问者详细信息,但相同的 IP 地址被保存多次,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34565892/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com