目前是这样简单过滤 $onlineip = addslashes($onlineip);

是不是该用一个正则来严格识别ip?

ego008 at 2013-04-27 17:52
1

@ego008 (\d{1,3}.){3}\d{1,3} 我写的 ipv4 的,ipv6 不太好写

jat001 at 2013-04-27 18:02
2

@jat001 v6太复杂了,要不考虑只放字符集[a-zA-Z0-9.:,]

ego008 at 2013-04-27 18:17
3

@ego008 我还是觉得复杂点好,安全,目前 ipv6 用户还不多,不如先不考虑

jat001 at 2013-04-27 18:32
4

@jat001 "HTTP_X_FORWARDED_FOR"变量可能包含多个IP

ego008 at 2013-04-27 18:34
5

@ego008 我知道,正常情况下是第一个,另外在 BAE 上只有 HTTP_X_FORWARDED_FOR 能获得访客的真实 ip,不知道 SAE 上是什么情况?

jat001 at 2013-04-27 18:45
6

@jat001 还是暂时取消通过HTTP_X_FORWARDED_FOR获取用户ip,目前程序在数据库还没用到用户ip,除了缓存版,以ip为key 来记录一个ip 的上次注册时间,SAE 版同步微博是需要附送ip。

若有代码,代码在获取时就被实行,对变量的过滤、识别只为下文利用。

ego008 at 2013-04-27 18:45
7

@ego008 我是指这样写容易被 SQL 注入,没有用到的话就无所谓了,不过增加个记录用户注册、最后登录 ip 的功能倒不错。

jat001 at 2013-04-27 18:53
8

@jat001 SAE onlineip: 74.63.xxx.xxx, 74.63.xxx.xxx HTTP_CLIENT_IP: HTTP_X_FORWARDED_FOR: 74.63.xxx.xxx, 74.63.xxx.xxx REMOTE_ADDR: 74.63.xxx.xxx

ego008 at 2013-04-27 19:58
9
登录 后发表评论