在数据库中获取网站的访问者详细信息，但相同的ip地址被多次保存 - Getting visitors detail for website in database but same ip address getting saved multiple times

这是为了创建数据库

CREATE TABLE `xxx`.`track`(`id_stat` smallint(6) unsigned NOT NULL auto_increment,
                          `v_ip` varchar(15) collate utf8_unicode_ci NOT NULL,
                          `v_time` datetime NOT NULL default '0000-00-00 00:00:00',
                          `v_ref` varchar(200) collate utf8_unicode_ci NOT NULL,
                          `v_agent` varchar(100) collate utf8_unicode_ci NOT NULL,
                          `v_url` varchar(100) collate utf8_unicode_ci NOT NULL,
                           PRIMARY KEY (`id_stat`)
               ) ENGINE = MyISAM DEFAULT CHARSET = utf8 COLLATE = utf8_unicode_ci;

这是php代码，但不起作用。请告诉我我在这里犯了什么错误

<?php
$stsip = $_SERVER['REMOTE_ADDR'];
$stagent = $_SERVER['HTTP_USER_AGENT'];
$sturl = $_SERVER['REQUEST_URL'];
$stref = $_SERVER['HTTP_REFERER'];
$stuser="abc";
$stpass = "thanks";
$sthost="localhost";
$stdb= "visitorsrecord";
$sttable="track";
$handle = mysql_connect("$sthost",$stuser,$stpass) or die("Connection Failure to Database");
mysql_select_db($stdb,$handle) or die ($stdb."Database not found.".$stuser);
mysql_query("insert into $sttable(v_time, v_ip, v_agent, v_url, v_ref) values(NOW(), '".$stsip."', '".$stagent."','".$sturl."', '".$stref."')");
mysql_close($handle);
?>

现在代码运行良好。但现在我面临的问题是。如果有人打开网站，那么我会在数据库中得到一个条目，但如果他进一步打开，那么另一个条目就会到来。但我想每天只记录唯一的ip地址。

（我在这里给出了部分答案，重点是这段代码中的SQL注入漏洞）。

第一部分是重置浏览器中的"用户代理"字符串。有插件可以实现这一点，在Firefox中，您还可以访问about:config查看内部设置，并且可以在此处手动编辑。尝试将浏览器重置为用户代理字符串My Browser'（注意不匹配的引号）。

然后运行上面的代码。您将有效地执行SQL的这一部分：values(NOW(), '1.2.3.4', 'My Browser'', 'url', 'referrer')。仔细看-请也试试-不匹配的引号已经被注入。事实上，引用人也可以很容易地被伪造，也许URL字段也可以。

此示例只会导致数据库错误。根据您配置实时服务器的方式，这可能会导致屏幕上出现错误，从而为攻击者提供有用的信息。

幸运的是，这个数据库库不可能在同一个查询中运行多个SQL命令。这将使你免受最具破坏性的注射，其工作原理如下：

referre=My Browser', '', ''); DELETE FROM track; --

如果图书馆允许，在这种情况下会发生什么？好吧，它会完成现有查询，直到第一个分号，然后尽职尽责地删除它刚刚插入的表中的所有内容。最后的--注释会将实际查询的其余部分修改为注释。

然而，绝对不建议依赖图书馆无法做到这一点。这已经够糟糕的了，可能会导致错误，但攻击者可能会注入并运行MySQL函数，这可能不安全。对于用于实现安全功能（如登录）的表，它们可能会注入自己的管理员帐户等。

这里最快的解决方案是转义输入，这样就不可能做到这一点。尝试对您的所有输入执行此操作：

$stagent = mysql_real_escape_string($_SERVER['HTTP_USER_AGENT']);

这将格式化特殊字符，特别是撇号，这样它们将被视为字符串的一部分，而不是分隔符。对所有服务器变量都这样做，即使你认为它们不需要它——它能做的最糟糕的事情就是什么都不做。

最后，这种转义和串联的方法主要会保护您，但从安全角度来看，参数化被认为要安全得多。不幸的是，这个库不支持它，而且由于它无论如何都被弃用（并在PHP7中被删除），所以当你有机会时，值得转移到PDO/mysql或MySQLi。

进一步阅读：如何防止PHP中的SQL注入？