就像是
SELECT COUNT(*) AS c FROM BANS WHERE typeid=6 AND (SELECT ipaddr,cidr FROM BANS) MATCH AGAINST 'this_ip';
因此,您不必先从数据库中获取所有记录,然后将它们逐个匹配。
如果 c > 0 则匹配。
禁令表:
id int auto incr PK
typeid TINYINT (1=hostname, 4=ipv4, 6=ipv6)
ipaddr BINARY(128)
cidr INT
host VARCHAR(255)
数据库:MySQL 5
查询时已知 IP 和 IPv 类型(4 或 6)。
IP 例如 ::1 二进制格式
禁止 IP 例如 ::1/64
请记住,IP 不是文本地址,而是数字 ID。我有类似的情况(我们正在做geo-ip查找),如果您将所有IP地址存储为整数(例如,我的IP地址是192.115.22.33所以它存储为3228767777),那么您可以查找IP使用右移运算符很容易。
所有这些类型的查找的缺点是您无法从索引中受益,并且每次查找时都必须进行全表扫描。上述方案可以通过存储CIDR网络的网络IP地址(范围的开始)和广播地址(范围的结束)来改进,例如存储192.168.1.0/24可以存储两个列:
network broadcast
3232235776, 3232236031
然后你可以匹配它你只需做
SELECT count(*) FROM bans WHERE 3232235876 >= network AND 3232235876 <= broadcast
这将允许您将 CIDR 网络存储在数据库中,并通过利用快速数字索引将它们与 IP 地址快速有效地匹配。
以下讨论的注意事项:
MySQL 5.0 包含一个称为“索引合并相交”的范围查询优化,它允许加速此类查询(并避免全表扫描),只要:
(network, broadcast).COUNT(*),但对 是不正确的SELECT * ... LIMIT 1。MySQL 5.6 包括一个称为 MRR 的优化,它也可以加快全行检索,但这超出了这个答案的范围。
对于IPv4,您可以使用:
SET @length = 4;
SELECT INET_NTOA(ipaddr), INET_NTOA(searchaddr), INET_NTOA(mask)
FROM (
SELECT
(1 << (@length * 8)) - 1 & ~((1 << (@length * 8 - cidr)) - 1) AS mask,
CAST(CONV(SUBSTR(HEX(ipaddr), 1, @length * 2), 16, 10) AS DECIMAL(20)) AS ipaddr,
CAST(CONV(SUBSTR(HEX(@myaddr), 1, @length * 2), 16, 10) AS DECIMAL(20)) AS searchaddr
FROM ip
) ipo
WHERE ipaddr & mask = searchaddr & mask
IPv4 地址、网络地址和网络掩码都是 UINT32 数字,并以人类可读的形式表示为“点四边形”。当检查地址是否在给定的网络空间(网络/网络掩码)中时,内核中的路由表代码执行非常快速的逐位与比较。这里的技巧是将点分四组 IP 地址、网络地址和网络掩码存储为 UINT32 表中,然后执行相同的 32 位逐位与匹配。例如
SET @test_addr = inet_aton('1.2.3.4');
SET @network_one = inet_aton('1.2.3.0');
SET @network_two = inet_aton('4.5.6.0');
SET @network_netmask = inet_aton('255.255.255.0');
SELECT (@test_addr & @network_netmask) = @network_one AS IS_MATCHED;
+------------+
| IS_MATCHED |
+------------+
| 1 |
+------------+
SELECT (@test_addr & @network_netmask) = @network_two AS IS_NOT_MATCHED;
+----------------+
| IS_NOT_MATCHED |
+----------------+
| 0 |
+----------------+
如果您的数据库不支持花哨的按位运算,您可以使用基于整数的简化方法。
以下示例使用 PostgreSQL:
select (cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 1) as bigint) * (256 * 256 * 256) +
cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 2) as bigint) * (256 * 256 ) +
cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 3) as bigint) * (256 ) +
cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 4) as bigint))
as network,
(cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 1) as bigint) * (256 * 256 * 256) +
cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 2) as bigint) * (256 * 256 ) +
cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 3) as bigint) * (256 ) +
cast(split_part(split_part('4.0.0.0/8', '/', 1), '.', 4) as bigint)) + cast(
pow(256, (32 - cast(split_part('4.0.0.0/8', '/', 2) as bigint)) / 8) - 1 as bigint
) as broadcast;
嗯。您可以构建一个 cidr 掩码表,将其连接起来,然后将 ip anded(&在 MySQL 中)与带有禁止块 ipaddress 的掩码进行比较。那会做你想要的吗?
如果您不想构建掩码表,则可以-1 << (x-cidr)使用x = 64或32依赖计算掩码。