PHP获取客户端IP常用方法及安全隐患

最新推荐文章于 2023-10-27 13:26:07 发布
最新推荐文章于 2023-10-27 13:26:07 发布
阅读量2.5k 收藏 1
点赞数 2
分类专栏: PHP 文章标签: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq292913477/article/details/81663432
版权

如何获取IP归属地,请参照我另一篇博文: 第三方接口获取IP归属地

 目前网上获取IP的常见代码如下:

/**
 * 获取ip地址
 * @return string|null
 */
public static function getIp()
{
    $ip = '';
    if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
        $ip = $_SERVER['HTTP_CLIENT_IP'];
    } elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
        $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    return $ip;
}

IP获取:先取 HTTP_CLIENT_IP的值,其次是 HTTP_X_FORWARDED_FOR,最后是 REMOTE_ADDR

  1. HTTP_CLIENT_IP头是有的,但未成标准,不一定服务器都实现。

  2. HTTP_X_FORWARDED_FOR 是有标准定义,用来识别经过HTTP代理后的客户端IP地址,格式:clientip,proxy1,proxy2。详情见: http://zh.wikipedia.org/wiki/X-Forwarded-For

  3. REMOTE_ADDR 是可靠的, 它是最后一个跟你的服务器握手的IP,可能是用户的代理服务器,也可能是自己的反向代理。关于伪造: HTTP_*头都很容易伪造。例如使用火狐插件伪造HTTP_X_FORWARDED_FOR IP为 8.8.8.8,此时清掉cookie再访问访问, 获取到的是 8.8.8.8。参考: sf上另一个关于伪造IP的问题 

代码安全隐患:

  1. HTTP_CLIENT_IP头都是可以伪造的,所以就会造成获取IP不是真实IP,但并不意味着它们一无是处,生产环境中很多服务器隐藏在负载均衡节点后面,一般负载均衡节点会把前端实际的IP地址通过HTTP_CLIENT_IP,通过HTTP_CLIENT_IP只能获取的负载均衡节点的IP地址。

  2. REMOTE_ADDR不可以显式的伪造,虽然可以通过代理将IP地址隐藏,但是这个地址仍然具有参考价值,因为它就是与你的服务器实际连接的IP地址。后端读取这个值就是真实可信的,因为它是负载均衡节点告诉你的而不是客户端。但当你的服务器直接暴露在客户端前面的时候,请不要信任这两种读取方法,只需要读取REMOTE_ADDR。 

解决方案:在上述代码中对IP进行过滤

/**
 * 获取ip地址
 * @return string|null
 */
public static function getIp()
{
    $ip = '';
    if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
        $ip = $_SERVER['HTTP_CLIENT_IP'];
    } elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
        $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }

    preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/', $ip, $match);
    return $match ? $match[0] : null;
}

 另附一份不错的代码:

/**
 * 获取当前环境的ip地址
 * @return string|null
 */
public static function getIp()
{
    foreach (array(
                 'HTTP_CLIENT_IP',
                 'HTTP_X_FORWARDED_FOR',
                 'HTTP_X_FORWARDED',
                 'HTTP_X_CLUSTER_CLIENT_IP',
                 'HTTP_FORWARDED_FOR',
                 'HTTP_FORWARDED',
                 'REMOTE_ADDR') as $key) {
        if (array_key_exists($key, $_SERVER)) {
            foreach (explode(',', $_SERVER[$key]) as $ip) {
                $ip = trim($ip);
                //会过滤掉保留地址和私有地址段的IP,例如 127.0.0.1会被过滤
                //也可以修改成正则验证IP
                if ((bool) filter_var($ip, FILTER_VALIDATE_IP,
                    FILTER_FLAG_IPV4 |
                    FILTER_FLAG_NO_PRIV_RANGE |
                    FILTER_FLAG_NO_RES_RANGE)) {
                    return $ip;
                }
            }
        }
    }
    return null;
}

以上为个人学习总结,如有问题,烦请指出,谢谢!

GallopYD
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php获取客户端IP及URL的方法示例
10-20
主要介绍了php获取客户端IP及URL的方法,涉及php预定义服务器变量$_SERVER相关使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下
ip登陆异常 php,PHP实例:PHP制作登录异常ip检测功能的实例代码
weixin_33866002的博客
03-13 96
PHP实例:PHP制作登录异常ip检测功能的实例代码》要点:本文介绍了PHP实例:PHP制作登录异常ip检测功能的实例代码,希望对您有用。如果有疑问,可以联系我们。使用函数查询数据库遍历实现/*** 不在常用ip地址登录返回描红信息* @param string $ip ip地址* @param string $name 用户名* @return string*/function error...
PHP 获取客户端ip地址
进阶之旅
10-25 183
一、如果没有使用代理服务器,   REMOTE_ADDR = 客户端IP    HTTP_X_FORWARDED_FOR = 没数值或不显示   $ip = $_SERVER['REMOTE_ADDR'];   二、使用透明代理,   REMOTE_ADDR = 最后一个代理服务器 IP  HTTP_X_FORWARDED_FOR = 客户端真实 IP (经过多个代理服务器时,这个值类...
php获取客户端IP和服务器端IP
热门推荐
WorldMvp的专栏
10-23 1万+
1.php获取客户端IPPHP获取客户端IP时,常使用 $_SERVER["REMOTE_ADDR"] 。但如果客户端是使用代理服务器来访问,那取到的是代理服务器的 IP 地址,而不是真正的客户端 IP 地址。要想透过代理服务器取得客户端的真实 IP 地址,就要使用$_SERVER["HTTP_X_FORWARDED_FOR"]来读取。 但只有客户端使用“透明代理”的情况下,$_S
PHP获取IP的五种方法
最新发布
sejinan的博客
10-27 1814
【代码】PHP获取IP的五种方法
php 获取请求端ip
lorraine_40t的博客
01-03 347
function getip() { static $ip = ''; $ip = $_SERVER['REMOTE_ADDR']; if(isset($_SERVER['HTTP_CDN_SRC_IP'])) { $ip = $_SERVER['HTTP_CDN_SRC_IP']; } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) { $...
PHP 获取客户端 IP 地址的方法实例代码
10-17
主要介绍了PHP 获取客户端 IP 地址的方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值 ,需要的朋友可以参考下
PHP实现获取客户端IP获取IP信息
10-24
主要介绍了PHP实现获取客户端IP获取IP信息的方法示例,非常实用,有需要的小伙伴快来参考下吧。
PHP获取用户客户端真实IP的解决方案
10-21
获取客户端ip其实不是个简单的活儿,因为存在Ip欺骗,和代理问题,所以获取客户端IP的真实性会打折扣的,...但是我们尽量使用比较完善的方法获取客户的ip,下面小编给大家分享PHP获取用户客户端真实IP方法,一起看看吧
PHP爬虫读取IP,选个适合自己的方法
oGuJing123的博客
07-07 921
在网络爬虫的开发过程中,获取IP地址是一个常见需求。PHP作为一种流行的编程语言,有多种方法可以实现爬虫读取IP的功能。本文将对比评测几种常用PHP爬虫读取IP方法,帮助读者选择适合自己需求的方法。1.使用cURL库获取IPcURL是一个强大的用于与服务器进行数据交互的库。
php获取客户端ip地址及ip所在国家、省份、城市、县区
TANKING
09-08 2151
获取客户端ip地址,然后使用这个ip地址获取所在的国家、省份、城市,可以在网站中实现IP属地,发布地等功能。 本文的获取IP地址信息均采自
php获取客户端IP地址的几种方法
Domando
04-14 1611
PHP Code one: //php获取ip的算法 $iipp=$_SERVER["REMOTE_ADDR"]; echo $iipp; PHP Code two: //php获取ip的算法 $user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_
PHP 获取真实 IP 的正确姿势
潘广宇的博客
12-29 4819
PHP中,常见获取请求IP的方式一般是通过3个超全局变量,不过很显然三种获取IP的方式并不完全可靠。 $_SERVER['REMOTE_ADDR']; // 客户端与服务器握手IP,如果使用代理则会获取到代理IP $_SERVER['HTTP_CLIENT_IP']; // 代理服务器发送的HTTP头(可伪造) $_SERVER['HTTP_X_FORWARDED_FOR']; // 用户是在哪个IP使用的代理(可伪造) 如果域名没有经过代理,一般稳
PHP笔记-获取客户端IP及平台及浏览器
IT1995的博客
03-07 3058
代码如下: class CookieTool{ ...... ...... ...... protected function getIPAddress(): string{ $ipaddress = ""; if (isset($_SERVER['HTTP_CLIENT_IP'])) $ipaddress = $_SERVER['HTTP_CLIENT_IP']; else if(isset($_SERVER
php如何获取客户端IP地址
dxmcu的专栏
12-09 1800
php获取客户端IP地址的几种方法 阅读php获取客户端IP地址的几种方法, <?php $iipp=$_SERVER["REMOTE_ADDR"]; echo $iipp; ?> <?php $user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] :
php获取提交数据的源ip地址
02-28 327
php获取提交数据的源ip地址
php获取客户端ip
雷绍发
01-14 85
/** * auth:leishaofa * php获取用户真实 IP * 注意这种方式只适用于浏览器访问时 */ function getUserIP() { $onlineip=''; if(getenv('HTTP_CLIENT_IP')&amp;&amp;strcasecmp(getenv('HTTP_CLIENT_IP'),'unknown'))...
php获取调用请求的ip,PHP获取用户访问IP地址的5种方法
weixin_35831969的博客
03-10 2260
本文实例为大家分享了5种PHP获取用户访问IP地址的方法,供大家参考,具体内容如下$ip = $_SERVER["REMOTE_ADDR"];echo $ip;//方法2:$user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_ADDR"];$user_IP = ($user_I...
jquery 获取客户端ip
08-09
然而,JavaScript 本身并没有直接获取客户端 IP方法,因为这需要在服务端进行处理。如果你想要获取客户端 IP,需要借助服务端语言来实现。 如果你使用的是 PHP,可以使用 `$_SERVER['REMOTE_ADDR']` 来获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值