0

この機能をテストしようとしていますが、さまざまな方法を試していますが、成功していません。他の方法でこれをテストする方法を知っている人はいますか、または私のテストクラスの何が問題なのか教えてください(私のテストクラスはこのページの最後にあります)。

function checkbrute($user_id, $mysqli) {

   // Get timestamp of current time
   $now = time();
   // All login attempts are counted from the past 2 hours. 
   $valid_attempts = $now - (2 * 60 * 60); 

   if ($stmt = $mysqli->prepare("SELECT time FROM login_attempts WHERE user_id = ? AND time > '$valid_attempts'")) { 
      $stmt->bind_param('i', $user_id); 
      // Execute the prepared query.
      $stmt->execute();
      $stmt->store_result();
      // If there has been more than 5 failed logins
      if($stmt->num_rows > 5) {
         return true;
      } else {
         return false;
      }

}
}

これが私のテストクラスで、データベースに接続されています。そして、関数「testcheckbrute()」を使用して、ID番号として値16を入力し、関数を試しています。

<?php


include 'functions.php';


class Test extends PHPUnit_Extensions_Database_TestCase {

function getConnection(){

$mysqli = new mysqli('xxxxx.xxx.xx.se', 'xxx_xxxxxxxx', 'xxxxxx', 'db_xxxxxxxx');

if($mysqli->connect_errno > 0){
    die('Unable to connect to database [' . $mysqli->connect_error . ']');
    }
}

function testcheckbrute(){

$mysqli = new mysqli('atlas.dsv.su.se', 'xxx_xxxxxxx8', 'xxxxx', 'xx_xxxxxx');

checkbrute(16, $mysqli);

}
function setUp(){

}
function getDataSet(){

}}


?>
4

2 に答える 2

3

まず第一に、提供されたテスト ケースは単体テストではなく、環境で使用可能な MySQL サーバーに依存するため、統合テストと呼ばれます。

次に、統合テストを行います。PHPUnit を使用した適切な DB テストの複雑さを十分に単純にするために掘り下げることはしませんが、使いやすさを念頭に置いて作成されたテスト ケース クラスの例を次に示します。

tests.php

<?php
require_once(__DIR__.'/code.php');
class BruteForceTests extends PHPUnit_Framework_TestCase 
{

    /** @test */
    public function NoLoginAttemptsNoBruteforce()
    {
        // Given empty dataset any random time will do
        $any_random_time = date('H:i');

        $this->assertFalse(
            $this->isUserTriedToBruteForce($any_random_time)
        );
    }

    /** @test */
    public function DoNotDetectBruteforceIfLessThanFiveLoginAttemptsInLastTwoHours()
    {
        $this->userLogged('5:34');
        $this->userLogged('4:05');

        $this->assertFalse(
            $this->isUserTriedToBruteForce('6:00')
        );
    }

    /** @test */
    public function DetectBruteforceIfMoreThanFiveLoginAttemptsInLastTwoHours()
    {
        $this->userLogged('4:36');
        $this->userLogged('4:23');
        $this->userLogged('4:00');
        $this->userLogged('3:40');
        $this->userLogged('3:15');
        $this->userLogged('3:01'); // ping! 6th login, just in time

        $this->assertTrue(
            $this->isUserTriedToBruteForce('5:00')
        );
    }

    //==================================================================== SETUP

    /** @var PDO */
    private $connection;

    /** @var PDOStatement */
    private $inserter;

    const DBNAME = 'test';
    const DBUSER = 'tester';
    const DBPASS = 'secret';
    const DBHOST = 'localhost';

    public function setUp()
    {
        $this->connection = new PDO(
            sprintf('mysql:host=%s;dbname=%s', self::DBHOST, self::DBNAME), 
            self::DBUSER, 
            self::DBPASS
        );
        $this->assertInstanceOf('PDO', $this->connection);

        // Cleaning after possible previous launch
        $this->connection->exec('delete from login_attempts');

        // Caching the insert statement for perfomance
        $this->inserter = $this->connection->prepare(
            'insert into login_attempts (`user_id`, `time`) values(:user_id, :timestamp)'
        );
        $this->assertInstanceOf('PDOStatement', $this->inserter);
    }

    //================================================================= FIXTURES

    // User ID of user we care about
    const USER_UNDER_TEST = 1;
    // User ID of user who is just the noise in the DB, and should be skipped by tests
    const SOME_OTHER_USER = 2;

    /**
     * Use this method to record login attempts of the user we care about
     * 
     * @param string $datetime Any date & time definition which `strtotime()` understands.
     */ 
    private function userLogged($datetime)
    {
        $this->logUserLogin(self::USER_UNDER_TEST, $datetime);
    }

    /**
     * Use this method to record login attempts of the user we do not care about,
     * to provide fuzziness to our tests
     *
     * @param string $datetime Any date & time definition which `strtotime()` understands.
     */ 
    private function anotherUserLogged($datetime)
    {
        $this->logUserLogin(self::SOME_OTHER_USER, $datetime);
    }

    /**
     * @param int $userid
     * @param string $datetime Human-readable representation of login time (and possibly date)
     */
    private function logUserLogin($userid, $datetime)
    {
        $mysql_timestamp = date('Y-m-d H:i:s', strtotime($datetime));
        $this->inserter->execute(
            array(
                ':user_id' => $userid,
                ':timestamp' => $mysql_timestamp
            )
        );
        $this->inserter->closeCursor();
    }

    //=================================================================== HELPERS

    /**
     * Helper to quickly imitate calling of our function under test 
     * with the ID of user we care about, clean connection of correct type and provided testing datetime.
     * You can call this helper with the human-readable datetime value, although function under test
     * expects the integer timestamp as an origin date.
     * 
     * @param string $datetime Any human-readable datetime value
     * @return bool The value of called function under test.
     */
    private function isUserTriedToBruteForce($datetime)
    {
        $connection = $this->tryGetMysqliConnection();
        $timestamp = strtotime($datetime);
        return wasTryingToBruteForce(self::USER_UNDER_TEST, $connection, $timestamp);
    }

    private function tryGetMysqliConnection()
    {
        $connection = new mysqli(self::DBHOST, self::DBUSER, self::DBPASS, self::DBNAME);
        $this->assertSame(0, $connection->connect_errno);
        $this->assertEquals("", $connection->connect_error);
        return $connection;
    }

}

このテスト スイートは自己完結型で、3 つのテスト ケースがあります。ログイン試行の記録がない場合、チェック時間から 2 時間以内にログイン試行の記録が 6 回ある場合、および同じ時間枠でログイン試行記録が 2 つしかない場合です。 .

これは不十分なテスト スイートです。たとえば、ブルート フォースのチェックが実際に関心のあるユーザーに対してのみ機能し、他のユーザーのログイン試行を無視することをテストする必要があります。もう 1 つの例は、(現在のように) チェック時間から 2 時間を引いた後に格納されたすべてのレコードではなく、チェック時間で終了する 2 時間間隔内のレコードを関数が実際に選択する必要があることです。残りのテストはすべて自分で作成できます。

PDOこのテスト スイートは、インターフェイスよりも絶対に優れている を使用して DB に接続しmysqliますが、テスト対象の関数のニーズに合わせて、適切な接続オブジェクトを作成します。

非常に重要な注意が必要です。ここでは、制御できないライブラリ関数に静的に依存しているため、関数をそのままテストすることはできません。

// Get timestamp of current time
$now = time();

チェックの時間は、次のように、関数が自動的にテスト可能になるように関数の引数に抽出する必要があります。

function wasTryingToBruteForce($user_id, $connection, $now)
{
    if (!$now)
        $now = time();
    //... rest of code ...
}

ご覧のとおり、関数の名前をより明確な名前に変更しました。

それ以外では、MySQL と PHP の間で datetime 値を操作するときは非常に注意する必要があると思います。また、代わりにパラメーター バインディングを使用して、文字列を連結して SQL クエリを作成しないでください。したがって、最初のコードのわずかにクリーンアップされたバージョンは次のようになります (テスト スイートでは最初の行でそれが必要であることに注意してください)。

コード.php

<?php

/**
 * Checks whether user was trying to bruteforce the login.
 * Bruteforce is defined as 6 or more login attempts in last 2 hours from $now.
 * Default for $now is current time.
 * 
 * @param int $user_id ID of user in the DB
 * @param mysqli $connection Result of calling `new mysqli`
 * @param timestamp $now Base timestamp to count two hours from
 * @return bool Whether the $user_id tried to bruteforce login or not.
 */
function wasTryingToBruteForce($user_id, $connection, $now)
{
    if (!$now)
        $now = time();

    $two_hours_ago = $now - (2 * 60 * 60);
    $since = date('Y-m-d H:i:s', $two_hours_ago); // Checking records of login attempts for last 2 hours

    $stmt = $connection->prepare("SELECT time FROM login_attempts WHERE user_id = ? AND time > ?");

    if ($stmt) { 
        $stmt->bind_param('is', $user_id, $since); 
        // Execute the prepared query.
        $stmt->execute();
        $stmt->store_result();
        // If there has been more than 5 failed logins
        if ($stmt->num_rows > 5) {
            return true;
        } else {
            return false;
        }
    }
}

私の個人的な好みでは、このチェック方法は非常に非効率的です。おそらく、次のクエリを作成する必要があります。

select count(time) 
    from login_attempts 
    where 
        user_id=:user_id 
        and time between :two_hours_ago and :now

これは統合テストであるため、データベースが含まれ、次のテーブルが定義された、アクセス可能な MySQL インスタンスが動作していることを前提としています。

mysql> describe login_attempts;
+---------+------------------+------+-----+-------------------+----------------+
| Field   | Type             | Null | Key | Default           | Extra          |
+---------+------------------+------+-----+-------------------+----------------+
| id      | int(10) unsigned | NO   | PRI | NULL              | auto_increment |
| user_id | int(10) unsigned | YES  |     | NULL              |                |
| time    | timestamp        | NO   |     | CURRENT_TIMESTAMP |                |
+---------+------------------+------+-----+-------------------+----------------+
3 rows in set (0.00 sec)

テスト対象の関数の仕組みを考えると、これは私の個人的な推測にすぎませんが、実際にそのようなテーブルがあると思います。

テストを実行する前に、ファイルDB*内の「SETUP」セクションで定数を構成する必要がありtests.phpます。

于 2013-05-30T07:46:58.830 に答える
1

実際のテスト (アサーション) は表示されません。

例えば:

$chk = checkbrute(16, $mysqli);
$this->assertTrue($chk);
etc.

アサーションはテストを構成します。

これを読みたいかもしれません: http://phpunit.de/manual/3.7/en/writing-tests-for-phpunit.html

さらに、「成功しない」が何を意味するのかわかりません。

于 2013-05-14T19:41:37.847 に答える