使用php怎么实现一个防刷机制-亚博电竞手机版
使用php怎么实现一个防刷机制?很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。
一. 如何获取用户ip地址
publicstaticfunctiongetclientip() { if(getenv('http_client_ip')){ $ip=getenv('http_client_ip'); } if(getenv('http_x_real_ip')){ $ip=getenv('http_x_real_ip'); }elseif(getenv('http_x_forwarded_for')){ $ip=getenv('http_x_forwarded_for'); $ips=explode(',',$ip); $ip=$ips[0]; }elseif(getenv('remote_addr')){ $ip=getenv('remote_addr'); }else{ $ip='0.0.0.0'; } return$ip; }
注意:
$_server和getenv的区别,getenv不支持iis的isapi方式运行的phpgetenv(“remote_addr”)函数在 apache下能正常获取ip地址,而在iis中没有作用,而$_server['remote_addr']函数,既可在apache中成功获取访客的ip地址,在iis下也同样有效
一、关于 remote_addr
这个变量获取到的是《直接来源》的 ip 地址,所谓《直接来源》指的是直接请求该地址的客户端 ip 。这个 ip 在单服务器的情况下,很准确的是客户端 ip ,无法伪造。当然并不是所有的程序都一定是单服务器,比如在采用负载均衡的情况(比如采用 haproxy 或者 nginx 进行负载均衡),这个 ip 就是转发机器的 ip ,因为过程是客户端->负载均衡->服务端。是由负载均衡直接访问的服务端而不是客户端。
二、关于 http_x_forwarded_for 和 http_client_ip基于《一》,在负载均衡的情况下直接使用 remote_addr 是无法获取客户端 ip 的,这就是一个问题,必须解决。于是就衍生出了负载均衡端将客户端 ip 加入到 head 中发送给服务端,让服务端可以获取到客户端的真实 ip 。当然也就产生了各位所说的伪造,毕竟 head 除了协议里固定的那几个数据,其他数据都是可自定义的。
三、为何网上找到获取客户端 ip 的代码都要依次获取 http_client_ip 、 http_x_forwarded_for 和 remote_addr基于《一》和《二》以及对程序通用性的考虑,所以才这样做。 假设你在程序里直接写死了 remote_addr ,有一天你们的程序需要做负载均衡了,那么你有得改了。当然如果你想这么做也行,看个人爱好和应用场景。也可以封装一个只有 remote_addr 的方法,等到需要的时候改这一个方法就行了。
总结:
http_client_ip: 头是有的,只是未成标准,不一定服务器都实现了。
x-forwarded-for(xff): 是用来识别通过http代理或负载均衡方式连接到web服务器的客户端最原始的ip地址的http请求头字段, 格式:clientip,proxy1,proxy2
remote_addr: 是可靠的, 它是最后一个跟你的服务器握手的ip,可能是用户的代理服务器,也可能是自己的反向代理。
x-forwarded-for 和 x-real-ip区别:
x-forwarded-for是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源ip追加在x-forwarded-for中, 而x-real-ip,没有相关标准, 其值在不同的代理环境不固定
1. 负载均衡情况:
生产环境中很多服务器隐藏在负载均衡节点后面,你通过remote_addr只能获取到负载均衡节点的ip地址,一般的负载均衡节点会把前端实际的ip地址通过http_client_ip或者http_x_forwarded_for这两种http头传递过来。
后端再去读取这个值就是真实可信的,因为它是负载均衡节点告诉你的而不是客户端。但当你的服务器直接暴露在客户端前面的时候,请不要信任这两种读取方法,只需要读取remote_addr就行了
2. cdn的情况:
所以对于我们获取用户的ip,应该截取http_x_forwarded_for的第一个有效ip(非unknown)。
多层代理时,和cdn方式类似。
注意:
无论是remote_addr还是http_forwarded_for,这些头消息未必能够取得到,因为不同的浏览器不同的网络设备可能发送不同的ip头消息
二. 防止ip注入攻击
加入以下代码防止ip注入攻击:
//ip地址合法验证,防止通过ip注入攻击 $long=sprintf("%u",ip2long($ip)); $ip=$long?array($ip,$long):array('0.0.0.0',0);
一般获取ip后更新到数据库代码如: $sql="update t_users set login_ip='".get_client_ip()."' where ..." ,而如果接收到的ip地址是: xxx.xxx.xxx.xxx';delete from t_users;-- ,代入参数sql语句就变成了: "update t_users set login_ip='xxx.xxx.xxx.xxx';delete from t_users;-- where ...
所以获取ip地址后,务必使用正则等对ip地址的有效性进行验证,另外一定要使用参数化sql命令
解析:
sprintf() 函数把格式化的字符串写入变量中。•%u - 不包含正负号的十进制数(大于等于 0)
int ip2long ( string $ip_address ) :
返回ip地址转换后的数字 或 false 如果 ip_address 是无效的。
注意 :
例子说明打印一个转换后的地址使用 printf() 在php4和php5的功能:
1. 因为php的 integer 类型是有符号,并且有许多的ip地址讲导致在32位系统的情况下为负数, 你需要使用 "%u" 进行转换通过 sprintf() 或printf() 得到的字符串来表示无符号的ip地址。
2. ip2long() 将返回 false 在ip是 255.255.255.255 的情况,版本为 php 5 <= 5.0.2. 在修复后 php 5.0.3 会返回 -1 (与php4相同)
三. 防刷机制
对于获取到ip后我们可以做一些防刷操作:
//ip限额 $ip=getclientip(); $ipkey="activity_key_{$ip}"; if(!frequencycheckwithtimesincache($ipkey,$duration,$limittimes)){ returnfalse; } returntrue;
//限制id,在$second时间内,最多请求$times次 publicstaticfunctionfrequencycheckwithtimesincache($id,$second,$times) { $value=yii::app()->cache->get($id); if(!$value){ $data[]=time(); yii::app()->cache->set($id,json_encode($data),$second); returntrue; } $data=json_decode($value,true); if(count($data) 1<=$times){ $data[]=time(); yii::app()->cache->set($id,json_encode($data),$second); returntrue; } if(time()-$data[0]>$second){ array_shift($data); $data[]=time(); yii::app()->cache->set($id,json_encode($data),$second); returntrue; } returnfalse; }
举例:
限制每小时请求不超过50次
if(!frequencycheckwithtimesincache('times_uid_'.$uid,3600,50)){ return'请求过于频繁'; }
防刷升级限制设备号:
//设备号一个设备号最多只能抽奖3次 if(!empty($deviceid)){ $deviceusechance=yii::app()->db->createcommand() ->select('count(id)')->from('activity00167_log') ->where('device_id=:deviceid',['deviceid'=>$deviceid]) ->queryscalar(); $devicechance=3-$deviceusechance; }
看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注恰卡编程网行业资讯频道,感谢您对恰卡编程网的支持。