[SQlite3/PHP] Table checken voor IP adress

donderdag 14 juni 2012 15:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Opzet:

Via een form kunnen website bezoekers zich toevoegen aan een sqlite database. Om spam te voorkomen wil ik het aantal insert entries per ip adress (ja ik weet ze kunnen spoofen) limiteren tot 1. Dit is de eerste keer dat ik werk met sqlite en php, wat werkt is dat gebruikers zich kunnen toevoegen aan de database maar ik kan niet limiteren op 1 entry per IP adress, tenminste mijn opgezette 'code' werkt niet.

Relevante code:

PHP:

<?php
$bnetname = $_POST['bnetname'];
$ip = $_SERVER['REMOTE_ADDR']; 

try
  {
    
    //open the database
    $db = new PDO('sqlite:bnetnames.sqlite');

    //create the database
    $db->exec("CREATE TABLE participants (Id INTEGER PRIMARY KEY, bnetname TEXT, ip INTEGER)");     
    
    // check if an IP adress already is in the table, if it is not then execute the prepared INSERT statement 
    $checkip = $db->query("SELECT * FROM participants WHERE ip LIKE '$ip'");

    //prepare INSERT statement
    $stmt= $db->prepare("INSERT INTO participants(bnetname, ip) VALUES (:bnetname, :ip)");
    
        //bind statement variables directly to input values
    $stmt->bindParam(':bnetname', $bnetname, SQLITE3_TEXT);
    $stmt->bindParam(':ip', $ip, SQLITE3_TEXT);
    
    //Execute INSERT statement if a name has been filled in and IP is not already in db
    if ((!empty($bnetname))&&($name="validate")&&(empty($checkip)))
        {
    $stmt->execute();
    }
?>

Ik zie zo snel niet wat ik fout doe en heb ook nog de volgende bedenkingen:
> Is mijn sql/php syntax correct voor de IP query, vooral het aanspreken van php variable $ip binnen een SELECT statement.
> Kan ik wel empty() gebruiken voor het resultaat van een query (wat een array is toch?)/

donderdag 14 juni 2012 16:44

Acties:

0 Henk 'm!

TheNephilim

Wtfuzzle

Maar wat is de foutmelding die je krijgt?

donderdag 14 juni 2012 16:50

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

TheNephilim schreef op donderdag 14 juni 2012 @ 16:44:
Maar wat is de foutmelding die je krijgt?

Ik krijg gewoon een blanco pagina, is er soort van debug mode dan? heb zelf geen aparte code voor exceptions erin gezet.

donderdag 14 juni 2012 16:56

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

Hint: display_errors en error_reporting

Anyone who gets in between me and my morning coffee should be insecure.

donderdag 14 juni 2012 17:02

Acties:

0 Henk 'm!

curvemod

MueR schreef op donderdag 14 juni 2012 @ 16:56:
Hint: display_errors en error_reporting

Jep, het is alleen nog makkelijker om in je errorlogs te kijken

Linux: tail -f -n 20 /var/log/apache2/error.log

donderdag 14 juni 2012 17:09

Acties:

0 Henk 'm!

Cartman!

Ja, want iedereen gebruikt ook linux, apache2 en dezelfde instellingen voor apache...

Gewoon lekker display_errors aan en error_reporting deftig instellen dus.

donderdag 14 juni 2012 17:16

Acties:

0 Henk 'm!

curvemod

Cartman! schreef op donderdag 14 juni 2012 @ 17:09:
Ja, want iedereen gebruikt ook linux, apache2 en dezelfde instellingen voor apache...

Gewoon lekker display_errors aan en error_reporting deftig instellen dus.

Volgens mij is het een stuk beter om dit uit je errorlogs te halen dan het naar je scherm te schrijven, zeker met wat langere stacktraces. En ja, de meeste mensen gebruiken inderdaad apache 2, je kan anders ook gewoon een locate doen of op windows in Xampp kijken waar je errorlog stat.

donderdag 14 juni 2012 17:23

Acties:

0 Henk 'm!

Xiphalon

Ik zou nog eens goed kijken naar het datatype van je IP. Je definieert de tabel als een INTEGER maar stopt daar hard strings in.

Ik zie ook niet hoe '1.2.3.4' zou passen dan, maar SQLite heeft wel gekkere dingen

donderdag 14 juni 2012 17:41

Acties:

0 Henk 'm!

Cartman!

jhuiting schreef op donderdag 14 juni 2012 @ 17:16:
Volgens mij is het een stuk beter om dit uit je errorlogs te halen dan het naar je scherm te schrijven, zeker met wat langere stacktraces.

Tijdens development vind ik ze op het scherm veel handiger, dan hoef ik niet te switchen van venster.

En ja, de meeste mensen gebruiken inderdaad apache 2, je kan anders ook gewoon een locate doen of op windows in Xampp kijken waar je errorlog stat.

Ze gebruiken misschien wel apache2, maar niet specifiek op linux of op die locatie die jij zegt. Je brengt het alsof dat command voor iedereen gaat werken maar dat is simpelweg niet zo.

donderdag 14 juni 2012 17:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Resolved, bedankt voor de reply's!

Heb mijn php.ini aangepast:

code:

1 2	display_errors = on error_reporting = E_all & ~E_notice

Zowel /var/log/apache2/error.log en de weergegeven error in de browser gaven aan dat ik een ")'' miste vandaar de witte pagina.

Nu deed de site nog niks, even elk onderdeel van de IP filter in volgorde uit/aangezet.

PHP:

1	$checkip = $db->query("SELECT * FROM participants WHERE ip LIKE '$ip'");

Was in orde en returned de juiste waardes, ondanks van wat Darkmage opmerkte dat ik inderdaad IP als integer had gedefinieerd (maar later wel weer gebind als text).

Maar deze voorwaarde pakt php niet:

PHP:

1 2	if ((!empty($bnetname))&&($name="validate")&&(empty($checkip))) { etc....}

Nu heb ik maar even een lelijke oplossing erin gezet dat wel werkt

PHP:

....
$checkip = $db->query("SELECT * FROM participants WHERE ip LIKE '$ip'");
    $alreadyinDB=0;
    foreach($checkip as $row)
    {
      $alreadyinDB=1;
    }

.....

//Execute INSERT statement if a name has been filled in
    if ((!empty($bnetname))&&($name="validate")&&($alreadyinDB==0)){
    $stmt->execute();
    }
    elseif ((!empty($bnetname))&&($name="validate")&&($alreadyinDB==1)){
    print "Only 1 entry per IP is allowed";
    }

donderdag 14 juni 2012 18:01

Acties:

0 Henk 'm!

HyperioN

Verwijderd schreef op donderdag 14 juni 2012 @ 17:51:

Maar deze voorwaarde pakt php niet:

Nu heb ik maar even een lelijke oplossing erin gezet dat wel werkt

Dus omdat je er niet 1,2,3 uitkomt ga je een lelijke workaround (dus geen oplossing) verzinnen?

Hint:
http://php.net/manual/en/language.operators.comparison.php

donderdag 14 juni 2012 18:01

Acties:

0 Henk 'm!

Soultaker

Tja, empty() werkt alleen op primitive types, niet op PDOStatement objecten; die zijn nooit empty. Je kunt wel $checkip->rowcount() gebruiken, bijvoorbeeld.

Je gebruikt daar verder een paar keer de assignment operator (=) waar je een comparison operator (==) bedoelt.

donderdag 14 juni 2012 18:38

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Soultaker schreef op donderdag 14 juni 2012 @ 18:01:
Tja, empty() werkt alleen op primitive types, niet op PDOStatement objecten; die zijn nooit empty. Je kunt wel $checkip->rowcount() gebruiken, bijvoorbeeld.

Je gebruikt daar verder een paar keer de assignment operator (=) waar je een comparison operator (==) bedoelt.

Ah thanks zoiets vermoedde ik al, maar omdat SQLite in de CLI niks output bij dezelfde query dacht ik met empty wel te kunnen werken.

//todo fix comparison operators en change to rowcount()

vrijdag 15 juni 2012 13:12

Acties:

0 Henk 'm!

spleethoven

code:

1	if ((!empty($bnetname))&&($name="validate")&&($alreadyinDB==0)){

er staat nog een foutje in, je hebt een haakje teveel.

vrijdag 15 juni 2012 13:17

Acties:

0 Henk 'm!

Fusioxan

Nee toch?

code:

if (
 (!empty($bnetname))
 &&
 ($name="validate")
 &&
 ($alreadyinDB==0)
)

OT:
Volgens mij is het probleem al opgelost, maar het type van je IP-veld in de database zou ook een varchar(39) kunnen zijn. Varchar(15) is nu nog wel genoeg, maar ik weet niet hoe future-proof je script moet zijn? IPv6 eist namelijk maximaal 39 (8×4+7) karakters, terwijl IPv4 nog genoeg heeft aan 15 (4×3+3).

vrijdag 15 juni 2012 13:58

Acties:

0 Henk 'm!

HyperioN

Fusioxan schreef op vrijdag 15 juni 2012 @ 13:17:
Nee toch?
code:
1
2
3
4
5
6
7
if (
 (!empty($bnetname))
 &&
 ($name="validate")
 &&
 ($alreadyinDB==0)
)

Inderdaad.. wel, zoals al opgemerkt een = te weinig.

OT:
Volgens mij is het probleem al opgelost, maar het type van je IP-veld in de database zou ook een varchar(39) kunnen zijn. Varchar(15) is nu nog wel genoeg, maar ik weet niet hoe future-proof je script moet zijn? IPv6 eist namelijk maximaal 39 (8×4+7) karakters, terwijl IPv4 nog genoeg heeft aan 15 (4×3+3).

Nog beter, onder het motto van efficientie:
http://dev.mysql.com/doc/...s.html#function_inet-aton
Maak een unsigned int veld voor je ip-adres en doe:

SQL:

1	INSERT INTO table SET ip = INET_ATON('173.194.67.94')

Opzoeken of ophalen doe je dan zo:

SQL:

1	SELECT INET_NTOA(ip) FROM table

En dan komt er gewoon weer een leesbaar IP-adres uit.
Is ook veel sneller dan.

Momenteel nog geen IPv6-support, maar vanaf MySQL 6.0 wel (http://forge.mysql.com/worklog/task.php?id=798). Dan ondersteunen de INET-functies IPv6 en dan komt er zelfs een datatype voor:

the proposed new data types CIDR and INET
allow IPv6 format as described in
WL#2037 "Add CIDR and INET data types"

[ Voor 9% gewijzigd door HyperioN op 15-06-2012 14:01 ]

vrijdag 15 juni 2012 20:21

Acties:

0 Henk 'm!

kluyze

Mag ik vragen wat er mis is met een unieke index op het ip veld? En dan de exception van de insert mooi opvangen?

Onderwerpen