用PHP製作一個安全的評分系統

Question

在我的網站上，每頁顯示5個問題（MCQ），當用戶請求新頁面時，我用此頁面的分數調用腳本score_update()，然後向他展示下一個頁。

的scoreUpdate()腳本是一樣的東西

<?php 
//connect to database 
//update the score 
?> 

的問題是，用戶可以刷新頁面，分數可更新兩次或次數，他刷新頁面或者他可以直接調用腳本通過查看源代碼。

我該如何實現這個系統？我需要一個想法。

編輯

這裏是我的數據庫架構

user

------------------------------------------ 
user_id | username | password | points 
------------------------------------------ 

PS：用戶可以在將來的某個時候再次嘗試同樣的問題。它沒有限制。所以不需要跟蹤他嘗試的問題。只有在他嘗試提出問題並將其打上正確答案時，他才能獲得分數。希望我清楚。

Answer 1

我會建議使用窗體鍵，也稱爲NONCE。

這意味着每次提交時都會生成一個新的表單鍵（NONCE）。

每個NONCE只能使用一次，NONCE必須對錶單提交工作有效。

大多數現代框架都有類似於標準內置的東西。

請參見本文的想法更深入的解釋： http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/

而且Symfony2的CSRF保護的表單上的這一部分，它使用同樣的技術： http://symfony.com/doc/current/book/forms.html#csrf-protection

Answer 2

這樣的問題有不同的可能的解決方案。這與訪客櫃檯或民意調查基本相同。

至少您必須將您的信息存儲在某處，如果用戶已經觸發了該腳本並在每次呼叫時重新識別他。

• 第一個也是最好的方法是登錄並保存在PHP $ _SESSION中的用戶帳戶，或直接在鏈接到user_id/account_id的數據庫中。但是，如果您的網頁現在沒有登錄權限，那麼對於我認爲較小的問題來說，這太過分了。但是如果你已經有一個登錄面板，這是迄今爲止最好的解決方案。
• 另一種方法是保存一個cookie，如果用戶不同意這一點，那麼最近可能會在某些國家/地區存在法律問題，並且cookie可能會被刪除，因此很容易操作。
• 你也可以保存用戶IP地址：難以操作（需要重新啓動互聯網等，沒有人會這樣做，十幾次假你的分數計數器），但如果多人共享相同的互聯網連接只有其中之一可以達到一個分數。

它們都有不同的優缺點。根據你是多麼偏執的人，如果你想作弊/濫用，但你的決定取決於你，你也可以結合其中的多個人。

Answer 3

檢查$_SERVER['HTTP_REFERER']的值。

• 如果這是相同的頁面：被重新加載。（什麼都不做）
• 如果是以前的：更新數據庫
• 如果它是另一個域：非法訪問（重定向到的第一個問題）

Answer 4

考慮下面的設置;

users 
+------------+-------------+------+-----+---------+----------------+ 
| Field  | Type  | Null | Key | Default | Extra   | 
+------------+-------------+------+-----+---------+----------------+ 
| user_id | smallint(5) | NO | PRI | NULL | auto_increment | 
| username | varchar(10) | NO |  | NULL |    | 
+------------+-------------+------+-----+---------+----------------+ 
... You'll have more columns, but you get the idea 

-

questions 
+----------+--------------+------+-----+---------+----------------+ 
| Field | Type   | Null | Key | Default | Extra   | 
+----------+--------------+------+-----+---------+----------------+ 
| qid  | smallint(5) | NO | PRI | NULL | auto_increment | 
| question | varchar(10) | NO |  | NULL |    | 
| votes | smallint(5) | NO |  | 0  |    | 
+----------+--------------+------+-----+---------+----------------+ 

-

votes 
+--------+-------------+------+-----+---------+-------+ 
| Field | Type  | Null | Key | Default | Extra | 
+--------+-------------+------+-----+---------+-------+ 
| qid | smallint(5) | NO |  | NULL |  | 
| user_id| smallint(5) | NO |  | NULL |  | 
+--------+-------------+------+-----+---------+-------+ 

在此設置中，我的用戶ID 1和投票的問題ID 1

當用戶投票，其投票置於votes

INSERT INTO `votes` (`qid`,`user_id`) VALUES (1, 1); 

要檢查他們已經投了票，只需做;

SELECT `user_id` FROM `votes` WHERE (`user_id`=1) AND (`qid`=1); 

如果該查詢返回任何行，我們知道用戶已經投票，我們不應該處理重複的投票。

當然，這隻會限制我們選擇一種投票類型 - 正面或負面 - 無論您決定跟蹤哪種類型。我們可以修改votes來存儲它的投票類型;

ALTER TABLE votes ADD type ENUM('up', 'down') NOT NULL DEFAULT 'up'; 

這將使我們的表結構如下;

+---------+-------------------+------+-----+---------+-------+ 
| Field | Type    | Null | Key | Default | Extra | 
+---------+-------------------+------+-----+---------+-------+ 
| qid  | smallint(5)  | NO |  | NULL |  | 
| user_id | smallint(5)  | NO |  | NULL |  | 
| type | enum('up','down') | NO |  | up  |  | 
+---------+-------------------+------+-----+---------+-------+ 

然後，再次調整查找查詢;

SELECT `user_id` FROM `votes` WHERE (`user_id`=1) AND (`qid`=1) AND (`type`='up'); 

Answer 5

我會建議保存用戶的數據庫狀態。您應該添加另一個表格才能這樣做。

----------------------------------- 
user_id | question_id | answer 
----------------------------------- 

當用戶回答問題時，您可以檢查用戶是否已經回答了此問題。 如果是這樣，更新他的答案，如果這是正確的答案更新他的分數。此方法的工作原理是，如果用戶已經正確回答了問題，則不會再出現相同的問題。

如果您想多次使用問題，我推薦另一種方法。 使用2個表：

---------------------------- 
user_id | questionnaire_id 
---------------------------- 

和

------------------------------------------ 
questionnaire_id | question_id | answer 
------------------------------------------ 

每份問卷都是獨一無二的，包含了一些問題 - 回答每一個問題是空的開始。每次用戶獲得新調查問卷時都會生成新調查問卷，並根據調查問卷保存答案。通過這種方式，您可以確保用戶不能兩次（或更多）提交相同的調查問卷結果。如果這是用戶第一次提交此調查問卷，則可以更新分數，如果不是，則不做任何事情。

爲了確保用戶不會手動更改他的questionnaire_id，可以將其保存在服務器上的會話中，以便用戶無法訪問它。

Answer 6

我看到的最安全的系統是基於跟蹤給定quizz的整個生命週期。

如果存儲與用戶和這個特定的QUIZZ相關的「當前問題編號」，你可以輕鬆地過濾掉重複的回覆：

update_score ($question_number, $choice) 
    if current question for this quizz and user is not set to $question_number 
    ignore request 
    else 
    set choice for this specific question and update score 
    increment current question (possibly reaching the end of the quizz) 

當最後一個問題的答案，顯示最終得分/記錄並且「當前問題」重置爲0.

如果用戶想要重試測試，則將當前問題設置爲1，整個過程將重新啓動。

如果用戶想要取消當前的測試並重新啓動，他/她可以通過返回quizz開始頁面來完成。

因此，任何試圖提交第二個答案，同樣的問題會失敗（無論是意外刷新或惡意的企圖），直到QUIZZ結束，你就可以開始回來的問題1.

Answer 7

您可以使用一個切換會話變量方法（將其命名爲標誌），這是最簡單並且對重複請求具有良好安全級別的方法。

建立一個叫做updateScore.php腳本。當用戶登錄設置flag=1，這意味着當一個請求出現了更新用，處理它updateScore.php，並在部份腳本的最後使flag=0。當下一個頁面再次出現時，請使flag=1。這樣，您可以交替使用這些值，並在您的腳本中設置最大更新限制，例如，對於您的情況，您有5個問題，因此可以將其設置爲50（每個問題+10）。你可以採取更復雜的標誌值來減少猜測機會。