投票系统中的唯一IP

Question

我正在为我的 PHP/MySQL 网站创建一个投票系统，我想确保一个用户只能投票一次。这样做的好方法是什么？到目前为止，我已经想到并半实现了以下内容：

• 使用 IP 和投票将个人选票存储在数据库中。这会造成体积庞大，但确保每个用户都获得一票。

• 在用户端存储 cookie 以检查他们是否投票。这是最简单的，但显然用户可以禁用 cookie。

最实用的方法是什么？任何其他建议都非常受欢迎。

Answer 1

无法获得的完美：（唯一的政府编号）

• 用户使用可验证的唯一标识符（例如社会安全号码或护照号码）进行投票

足够接近现实：（电子邮件/第 3 方身份验证）

• 用户使用电子邮件地址和密码（或 google/facebook）注册帐户
• 1 个电子邮件地址 = 1 票
• 用户无法清除 cookie 并获得额外选票，应用程序不会关闭 1000使用共享 IP

想法虽好但虚假（IP 地址）

• 办公楼：同一外部 IP 上的 1000 个用户被拒之门外
• 大学：连接到教室中的无线网络。投票。移动到下一个教室。重新连接并再次投票

The Crash-And-Burn (Cookies)

1. 投票
2. ctrl shft del Enter
3. vote
4. Repeat

Answer 2

如果您想有机会审计您的系统，您应该在数据库中存储尽可能多的信息。如果您记录很多，那么即使存在投票欺诈，您也可能能够检测到并取消这些投票。

第二种方法是完全不安全的。如果用户想再次投票，只需删除 cookie，您将无法检测到这种情况已经发生。

重要说明

IP 地址与人员之间不存在一对一的映射。有些人拥有多个 IP 地址，而另一些人则共享一个 IP 地址。

Answer 3

完全可靠的方法将会很棘手。您的两种想法都有问题 - cookie 可以被禁用，并且一个用户可能拥有多个 IP 和/或许多用户可能共享相同的 IP。强制用户注册并只允许每个注册帐户投一票会更好，但随后有人可能会注册多个帐户。对每个帐户强制进行唯一的电子邮件验证会在一定程度上减少这种情况，但您仍然可以通过注册多个不同的电子邮件来绕过它。

基本上，你采取的每一项措施都会让出行变得更加困难，但同时也会增加投票的难度。如果没有将选票与可验证的已知唯一信息（SSN、护照号码）联系起来，您采取的任何措施都可以被规避，这只是取决于付出的努力。除了其他措施之外，手动审查可疑选票也有助于减少欺诈选票。在易用性和安全性之间划定界限实际上取决于您，具体取决于您需要在多大程度上强制执行一票限制。

Answer 4

正如 Mark Byers 所说，某些国家/地区可能拥有动态 IP 地址（例如越南），因此每次用户建立连接（或重置调制解调器）时，IP 地址都会不断变化。但如果您能确保您的系统构建在 IP 地址静态的国家/地区，那就没问题了。

cookie 解决方案似乎有点不安全，但如果您的大多数用户都是非技术人员，那么他们将无法识别其中的技巧（即删除 cookie 并再次投票）。对我来说，我不喜欢这种方式，因为我知道我的用户对这种技术一无所知。

我建议您在投票时进行邮箱验证，这样结果会更加准确。用户可能只有几个电子邮件地址，并且他们不想创建新电子邮件地址只是为了投票。

Answer 5

无论您决定使用什么，IP 地址都根本不安全。用户基本上可以从不同的位置访问并再次投票等。Cookie 是一种解决方案，但由于删除的可能性而未进行优化（因此您会冒用户识别过程的风险）。您将需要处理来自用户的更多数据，以便能够安全地记录他们的选项。

如果系统是一个更大系统的子系统，也许您可​​以使用更大系统中常见的字段来识别当前系统中的用户。

希望这有帮助，

Answer 6

确保用户只投票一次的唯一方法是创建用户帐户 因为：

Cookie 可以被删除

IP 地址是可以更改的。 （此外，多个用户可以拥有一个 IP 地址）

Answer 7

将个人选票与 IP 和投票一起存储在数据库中。这会造成体积庞大，但确保每个用户都获得一票。

这很好，但比第二慢，但我仍然推荐这个。

在用户端存储 cookie 以检查他们是否投票。这是最简单的，但显然用户可以禁用cookie。

你是对的，它不安全，但速度更快，但我不喜欢这个