[php] Zabezpieczenie modułu przez "nabijaniem" Opcje

[fredzio90]

mam takówy problem.. robie moduł do systemu CMS podobnego do Programu Partnerskiego na stronach komercyjnych.. i mam problem...
mam 2 tabele do jednej zapisuje się zarejestrowanego usera, do drugiej zapisywane są adresy ip które odwiedziły linki PP ( domyślacie się, linki aby zbierać punkty ) i moj problem polega na zabezpieczeniu przez nabijaniem punktów przez tą samą osobe, przez te same IP.... napisałem taką funkcje:

[PHP] pobierz, plaintext 
<?php
function pp_view() {
	global $pp_tbl, $pp_conf_tbl, $goto, $PHP_SELF, $REMOTE_ADDR;
 
 
$sql = mysql_query("SELECT * FROM $pp_tbl WHERE pp_nr='{$_GET['url']}'");
while($r = mysql_fetch_array($sql)) {
	$points = $r['points'];
	$nr_pp = $r['pp_nr'];
	$ppnick = $r['ident']; 
 
$check = mysql_query("SELECT * FROM $pp_conf_tbl");
while($ccc = mysql_fetch_array($check)) {
$ip = $ccc['ip'];
}
 
if($ip=='$REMOTE_ADDR') {
header("Location: $PHP_SELF");
} else {
$sqlUp = mysql_query("UPDATE $pp_tbl SET points=points+1 WHERE ident='$ppnick'");
$sqlZab = mysql_query("INSERT INTO $pp_conf_tbl SET ip='$REMOTE_ADDR', data=now()");
header("Location: $PHP_SELF");
}
}
}
?>
[PHP] pobierz, plaintext 

i niewiem jak tą funkcje przekrztałcić aby:

podczas wchodzenia w link, sprawdzane było w tabeli $pp_conf_tbl czy ip usera ktory kliknow w link PP nie znajduje się w tabeli.. jeżeli tak to żeby pokazało $PHP_SELF, a jeżeli nie to żeby dodało jego ip do bazy $pp_conf_tbl i zaaktualizowało tabele $pp_tbl a dokladnie jego pole points+1...

jak kilkam w odnosnik kierujacy do dodania punktów, dodaje się do bazy ip i aktualizuje punkty usera, lecz powinno wykrywać także czy ip usera nie jest w tabeli i uniemożliwić "nalicznie" punnktów...

Ten post edytował fredzio90 28.03.2007, 19:33:54

[Kicok]

1. http://pl.php.net/manual/pl/language.types.string.php
Tutaj znajdziesz odpowiedź, dlaczego kod:

[PHP] pobierz, plaintext 
<?php
if($ip == '$REMOTE_ADDR')
?>
[PHP] pobierz, plaintext 

nie działa tak jak sobie tego życzysz.


2. Powinno się stosować zapis:

[PHP] pobierz, plaintext 
<?php
$_SERVER['PHP_SELF'];
$_SERVER['REMOTE_ADDR'];
?>
[PHP] pobierz, plaintext 

zamiast:

[PHP] pobierz, plaintext 
<?php
$PHP_SELF;
$REMOTE_ADDR;
?>
[PHP] pobierz, plaintext 

Jeśli na serwerze, na którym umieścisz swój skrypt register_globals będzie wyłączone, to nic ci nie będzie działać.


3.

[PHP] pobierz, plaintext 
<?php
$check = mysql_query("SELECT * FROM $pp_conf_tbl");
while($ccc = mysql_fetch_array($check)) {
$ip = $ccc['ip'];
}
?>
[PHP] pobierz, plaintext 

Ta pętla odczyta ci tylko ostatni adres IP z tabeli $pp_conf_tbl. Na pewno o to ci chodziło? Może przerób zmienną $ip na tablicę, a później sprawdzaj adresy IP funkcją in_array" title="Zobacz w manualu PHP" target="_manual