一般方法:
IP获取:先取 HTTP_CLIENT_IP的值,其次是 HTTP_X_FORWARDED_FOR,最后是 REMOTE_ADDR :
/**
* 获取ip地址
* @return string|null
*/
public static function getIp()
{
$ip = '';
if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
}
return $ip;
}
1.HTTP_CLIENT_IP头是有的,但未成标准,不一定服务器都实现。
2.HTTP_X_FORWARDED_FOR 是有标准定义,用来识别经过HTTP代理后的客户端IP地址,格式:clientip,proxy1,proxy2。详情
3.REMOTE_ADDR 是可靠的, 它是最后一个跟你的服务器握手的IP,可能是用户的代理服务器,也可能是自己的反向代理。关于伪造: HTTP_*头都很容易伪造。例如使用火狐插件伪造HTTP_X_FORWARDED_FOR 的IP为 8.8.8.8,此时清掉cookie再访问访问, 获取到的是 8.8.8.8。参考
代码安全隐患:
- HTTP_CLIENT_IP头都是可以伪造的,所以就会造成获取IP不是真实IP,但并不意味着它们一无是处,生产环境中很多服务器隐藏在负载均衡节点后面,一般负载均衡节点会把前端实际的IP地址通过HTTP_CLIENT_IP,通过HTTP_CLIENT_IP只能获取的负载均衡节点的IP地址。
- REMOTE_ADDR不可以显式的伪造,虽然可以通过代理将IP地址隐藏,但是这个地址仍然具有参考价值,因为它就是与你的服务器实际连接的IP地址。后端读取这个值就是真实可信的,因为它是负载均衡节点告诉你的而不是客户端。但当你的服务器直接暴露在客户端前面的时候,请不要信任这两种读取方法,只需要读取REMOTE_ADDR。
解决方案:
在上述代码中对IP进行过滤
/**
* 获取ip地址
* @return string|null
*/
public static function getIp()
{
$ip = '';
if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
}
preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/', $ip, $match);
return $match ? $match[0] : null;
}
/**
* 获取当前环境的ip地址
* @return string|null
*/
public static function getIp()
{
foreach (array(
'HTTP_CLIENT_IP',
'HTTP_X_FORWARDED_FOR',
'HTTP_X_FORWARDED',
'HTTP_X_CLUSTER_CLIENT_IP',
'HTTP_FORWARDED_FOR',
'HTTP_FORWARDED',
'REMOTE_ADDR') as $key) {
if (array_key_exists($key, $_SERVER)) {
foreach (explode(',', $_SERVER[$key]) as $ip) {
$ip = trim($ip);
//会过滤掉保留地址和私有地址段的IP,例如 127.0.0.1会被过滤
//也可以修改成正则验证IP
if ((bool) filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_IPV4 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE)) {
return $ip;
}
}
}
}
return null;
}
转载自:https://blog.csdn.net/qq292913477/article/details/81663432