根据保存在数据库中的 IP 地址删除特定对象的投票访问权限

Removing voting access for specific object depending on IP Address saved in database

我已经尝试发表一些关于这个问题的帖子,但我决定在最后一个帖子中收集所有内容,希望能以某种方式解决它。

我正在构建一个网站,用户可以在该网站上对数据库中的问题进行投票。没有登录,因此,为了确保每个人每个问题只能投票一次,我将他们的 IP 与问题 ID 一起使用。

首先,我获取 ID 和 IP 地址并存储它们,确保它们是整数:

if(isset($_GET['id']))
          {

           //Get IP address

           //Test if it is a shared client
           if (!empty($_SERVER['HTTP_CLIENT_IP'])){
            $ip=$_SERVER['HTTP_CLIENT_IP'];

           //Is it a proxy address
           }elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])){
            $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
           }else{
            $ip=$_SERVER['REMOTE_ADDR'];
           }

           //Save id and IP address as variables
           $id = $_GET['id'];
           $ip_long = ip2long($ip);

然后我使用这两个变量检查​​用户是否已经投票。这是我预计会出现问题的地方。我得到一个:

Notice: Trying to get property of non-object

第 116 行是:$row_cnt = $result->num_rows.

此外var_dump ($result)returnsbool(false)var_dump ($row_cnt)returnsNull。在查询中的两个变量周围添加引号,$ip_long 和 $id 修复了本地主机上的问题,但不是在我的服务器上。

一个局部 var_dump($result) 变量 returns 引号如下:

object(mysqli_result)#2 (5) { ["current_field"]=> int(0) ["field_count"]=> int(1) ["lengths"]=> NULL ["num_rows"]=> int(1) ["type"]=> int(0) }

我想为特定问题的问题投票添加 1,然后删除为特定 IP 地址对同一问题投票的选项。

//Save id and IP address as variables
           $id = $_GET['id'];
           $ip_long = ip2long($ip);

           ///Check to see if user already voted
           $stmt = $conn->prepare("SELECT * FROM User_Votes where UserID = ? and QuestionID = ?");
           mysqli_stmt_bind_param($stmt, 'ss', $ip_long, $id);
           $stmt->execute();
           $result = $stmt->get_result();
            if($result->num_rows){
                //The user has already voted
                echo "Already voted";
            }else{
                //Add IP Address and ID to the User_Votes table
                $stmt = $conn->prepare("INSERT INTO User_Votes (UserID, QuestionID) VALUES (?, ?)");
                mysqli_stmt_bind_param($stmt, 'ss', $ip_long, $id);
                $stmt->execute();
                $stmt = $conn->prepare("UPDATE Question SET QuestionVotes = QuestionVotes + 1 where QuestionID = ?");
                mysqli_stmt_bind_param($stmt, 's', $id);
                $stmt->execute();
            }

       }

最后,这是我用来构建包含数据库问题信息的 html 框的代码,添加一个显示当前投票的投票按钮,并将用作 QuestionID 的内容附加到 url:

// Build 4 question boxes from database Question table, including voting button
      $stmt = $conn->prepare("SELECT * FROM question ORDER BY QuestionVotes DESC LIMIT 4");
      $stmt->execute();

      $result = $stmt->get_result();
      if ($result->num_rows > 0) {
           // output data of each row
           while($row = $result->fetch_assoc()) {
               //$row["QuestionID"] to add id to url
               echo "<div class=\"col-md-3\"><h2>". $row["QuestionHeader"]. "</h2><p>". $row["QuestionText"]. "</p><p><a href=\"index.php?id=". $row["QuestionID"]. "\" class=\"btn btn-success\"> " . $row["QuestionVotes"] . "</a></p></div>";

           }
      }
      else
      {
        echo "0 results";
      }

我的表格如下:

问题:QuestionID(int11)(pk),QuestionHeader(varchar(20)),QuestionText(text),QuestionVotes(int(5))
User_Votes: UserID(unsigned, int(39)), QuestionID(int(11))

您的插入语句使用单引号将您的变量括起来。这些应该是双引号,所以 PHP 会将您的变量解释为值而不是文字字符串。

这看起来是正在发生的事情的根本原因。在让它们继续工作之前,您是否能够验证所有内容都已正确写入您的数据库表?然后验证您的 select 语句是否正确提取数据以及数据采用什么形式?

而且 jcaran 的评论是正确的...需要考虑对您获取的变量进行一些验证。

有几件事我想指出。 第一个,你的错误:

I get a 'Notice: Trying to get property of non-object' from line 116 which is: $row_cnt = $result->num_rows;.

当您使用 select 查询调用 mysqli->query() 时未找到任何结果,则返回的对象不是对象而是 false.

第二个,不用COUNT(*),直接用*.

所以为了保持你的逻辑,你应该这样做:

//Check to see if user already voted
$result = $conn->query("SELECT * FROM User_Votes where UserID = '$ip_long' and QuestionID = '$id'");

if ($result === false) { 
    //Add IP Address and ID to the User_Votes table
    $result = $conn->query("INSERT INTO `User_Votes` (`UserID`, `QuestionID`) VALUES ('$ip_long', '$id')");
}elseif($result && $result->num_rows) { 
    //The user has already voted
    echo "Already voted";
}

已编辑:

//Check to see if user already voted
$result = $conn->query("SELECT * FROM User_Votes where UserID = '$ip_long' and QuestionID = '$id'");

if($result->num_rows){
    //The user has already voted
    echo "Already voted";
}else{
    //Add IP Address and ID to the User_Votes table
    $result = $conn->query("INSERT INTO User_Votes (UserID, QuestionID) VALUES ('$ip_long', '$id')");
}

重新编辑:

您必须在 $stmt->execute() 之后调用 $stmt->store_result()。您的 $stmt->get_result() 在这里是不必要的,因为您没有使用 selected 数据。

来自 documentation 的部分评论:

If you do not use mysqli_stmt_store_result( ), and immediatley call this function after executing a prepared statement, this function will usually return 0 as it has no way to know how many rows are in the result set as the result set is not saved in memory yet.

所以你的代码应该是这样的:

if(isset($_GET['id']) && !empty($_GET['id'])){
    $id = $_GET['id'];
    $ip_long = ip2long($ip);

    //Check to see if user already voted
    $stmt = $conn->prepare("SELECT * FROM User_Votes where UserID = ? and QuestionID = ?");
    $stmt->bind_param('ss', $ip_long, $id);
    $stmt->execute();
    $stmt->store_result();
    if($stmt->num_rows){
        //The user has already voted
        echo "Already voted";
    }else{
        //Add IP Address and ID to the User_Votes table
        $stmt = $conn->prepare("INSERT INTO User_Votes (UserID, QuestionID) VALUES (?, ?)");
        $stmt->bind_param('ss', $ip_long, $id);
        $stmt->execute();
        $stmt = $conn->prepare("UPDATE Question SET QuestionVotes = QuestionVotes + 1 where QuestionID = ?");
        $stmt->bind_param('s', $id);
        $stmt->execute();
    }
}

旁注:请不要混合 mysqli.

的面向过程和面向对象的风格

你应该检查一下你的 table 的名字。

您在一个查询 User_Votes 中使用它,在另一个查询中使用 user_votes。它可能在您的开发服务器上工作,如果它由 Windows 提供支持,不区分大小写,但是 Linux 可能支持您的生产服务器区分大小写。

查看此问题以获取更多信息:Are table names in MySQL case sensitive?

另请注意,从上面的代码来看,您的应用程序看起来不安全 SQL 注入。您应该将变量转换为 int,或者您希望它们是什么。