//伪装客户IP采集
function hideip_gethtml($url) {
$ip=$_SERVER['REMOTE_ADDR'];
$headers['CLIENT-IP'] = $ip;
$headers['X-FORWARDED-FOR'] = $ip;
$headerArr = array();
foreach( $headers as $n => $v ) {
$headerArr[] = $n .':' . $v;
}
$ch = curl_init();
$timeout = 5;
curl_setopt ($ch, CURLOPT_URL, $url);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
curl_setopt ($ch, CURLOPT_HTTPHEADER , $headerArr ); //构造IP
$contents = curl_exec($ch);
curl_close($ch);
return $contents;
function hideip_gethtml($url) {
$ip=$_SERVER['REMOTE_ADDR'];
$headers['CLIENT-IP'] = $ip;
$headers['X-FORWARDED-FOR'] = $ip;
$headerArr = array();
foreach( $headers as $n => $v ) {
$headerArr[] = $n .':' . $v;
}
$ch = curl_init();
$timeout = 5;
curl_setopt ($ch, CURLOPT_URL, $url);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
curl_setopt ($ch, CURLOPT_HTTPHEADER , $headerArr ); //构造IP
$contents = curl_exec($ch);
curl_close($ch);
return $contents;
}
在服务端,$_SERVER中还是能看到采集者的服务器IP地址:REMOTE_ADDR.(这是记录访问的最后一个物理连接,是隐藏不了的.但如果有后面的参数,通常会认为REMOTE_ADDR是代理,会获取后面的IP地址。就国内目前普遍的获取IP方法看,会将后面的IP记录为真实ip。从而实现伪装。经测试是成功的。
在phpcms,thinkphp框架里获取ip的代码是一样的。经测试,记录的IP确实是客户端的IP。
附记另外一件事
对用户输入的数据进行正则验证时,前后加上开始和结束标记。
网上看到有文章时,通过正则验证IP时,如果用户在后面输入注入字串,也能匹配成功,从而不能实现过滤功能。其实是对正则不了解造成的。如果有实现对正则的完整匹配,避免后面还有字串,一个办法是在后面加上结尾符号$.可以防止后面加代码. 实际上还不全,因为还可能匹配成功,还要在前面加上开始符号^。这样就确保是唯一的匹配。