php remoteaddr 伪造,REMOTE_ADDR协议头获取真实IP地址是不可伪造的

最新推荐文章于 2021-03-19 19:23:10 发布
最新推荐文章于 2021-03-19 19:23:10 发布
阅读量2k 收藏
点赞数
文章标签: php remoteaddr 伪造
本文探讨了PHP中REMOTE_ADDR获取IP地址的不可伪造性,通过实例证明即使在curl请求中,REMOTE_ADDR仍能保持客户端的真实IP。然而,由于路由可能的伪造,其安全性并非绝对。同时提供了一个PHP函数`get_real_ip()`用于获取IP地址,并警告了HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR头可能被伪造的情况。
摘要由CSDN通过智能技术生成

今天就是讲给REMOTE_ADDR不可以伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地址,路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是残酷的 也是完美的

给个演示案例你吧:你就信了

1.将以下代码保存为 Client.php

//php脚本开始

$ch = curl_init();

$url = "http://localhost/ser.php";

$header = array( 'CLIENT-IP:208.165.188.175', 'X-FORWARDED-FOR:208.165.188.175, );

//声明伪造head请求头

curl_setopt($ch, CURLOPT_URL, $url);

curl_setopt($ch, CURLOPT_HTTPHEADER, $header);

curl_setopt($ch, CURLOPT_RETURNTRANSFER,true);

$page_content = curl_exec($ch); curl_close($ch);

echo $page_content;?>

2.将以下文件保存为ser.php

//php脚本开始

echo getenv('HTTP_CLIENT_IP');

echo getenv('HTTP_X_FORWARDED_FOR');

echo getenv('REMOTE_ADDR');

?&g

最低0.47元/天 解锁文章
樊反
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP 请求中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
php获取客户端ip地址或者服务器ip地址
ouyangfeiyu123的博客
02-18 2287
.SERVER[′REMOTEADDR′]客户端IP,有可能是用户的IP,也可能是代理的IP。._SERVER['REMOTE_ADDR'] 客户端IP,有可能是用户的IP,也可能是代理的IP。 .S​ERVER[′REMOTEA​DDR′]客户端IP,有可能是用户的IP,也可能是代理的IP。._SERVER[‘HTTP_CLIENT_IP’] 代理端的IP,可能存在可伪造。 .KaTeX parse error: Double subscript at position 16: _SERVER['HTTP
php中HTTP_X_FORWARDED_FOR 和 REMOTE_ADDR的使用
weixin_30251829的博客
12-18 249
1.REMOTE_ADDR:浏览当前页面的用户计算机的ip地址2.HTTP_X_FORWARDED_FOR: 浏览当前页面的用户计算机的网关3.HTTP_CLIENT_IP:客户端的ip 在PHP 中使用 $_SERVER["REMOTE_ADDR"] 来取得客户端的 IP 地址,但如果客户端是使用代理服务器来访问,那取到的就是代理服务器的 IP 地址,而不是真正的客户端 IP 地址。要想透过代...
php REMOTE_ADDR之获取访客IP的代码
12-18
<?php $iipp=$_SERVER[“REMOTE_ADDR”]; echo $iipp; ?>[/code][code]<?php $user_IP = ($_SERVER[“HTTP_VIA”]) ? $_SERVER[“HTTP_X_FORWARDED_FOR”] : $_SERVER[“REMOTE_ADDR”]; $user_IP = ($user_IP) ? $user_IP : $_SERVER[“REMOTE_ADDR”]; echo $user_IP; ?> <?php function get_real_ip(){ $ip=false; if(!empty($_SER
php remoteaddr 伪造,如何伪造$ _SERVER ['REMOTE_ADDR']变量?
weixin_28940217的博客
03-19 1847
达令说我认为你的意思是远程伪造它。简短的回答是肯定的。关于它是多么容易的长期答案取决于你想要伪造它的方式。如果您不关心接收响应,那么打开原始套接字到目标并伪造IP地址就像是微不足道的。我不确定在PHP中是否真的很容易,因为所有PHP的套接字实现都达到或高于TCP级别。但我相信这是可能的。现在,由于您无法控制网络,因此响应不会再回复给您。这意味着你不能(可靠地)通过一个简单的伪造TCP创建一个T...
php 获取 remote addr,php REMOTE_ADDR之获取访客IP的代码
weixin_30433715的博客
03-19 795
$iipp=$_SERVER["REMOTE_ADDR"];echo$iipp;?>[/code][code]
REMOTE_ADDR 协议不可伪造
技术人生的博客
07-16 7770
最近,在开发一个采集,怎么也不能用伪造的ip进行采集.网上找了不少资料,对方使用了 REMOTE_ADDR方法获取ip,这个函数是不能伪造的,像HTTP_X_FORWARDED_FOR这个可以获取伪造的ip,获取代理使用比较多,像 HTTP_CLIENT_IP 这个是客户端带上来的,一般无空值…也可以被伪造出来 今天就是讲给REMOTE_ADDR不可伪造的,就在curl 中也无法伪造 相对...
PHP $_SERVER["REMOTE_ADDR"]
~~~~~~常思~~~~~
06-09 1万+
服务器变量:$_SERVER 注: 在 PHP 4.1.0 及以后版本使用。之前的版本,使用 $HTTP_SERVER_VARS。  $_SERVER 是一个包含诸如信息(header)、路径(path)和脚本位置(script locations)的数组。数组的实体由 web 服务器创建。不能保证所有的服务器都能产生所有的信息;服务器可能忽略了一些信息,或者产生了一些未在下面列出的新的信息
PHP通过$_SERVER['REMOTE_ADDR']得到的是内网IP?如何才能获得客户的公网IP(真实IP地址).zip
01-10
首先,`$_SERVER['REMOTE_ADDR']`是PHP用于获取客户端(浏览器)IP地址的一个变量,按照HTTP协议,这是服务器接收到的请求中的信息。然而,如果用户访问你的网站经过了代理服务器或者负载均衡器,这个IP地址可能会...
5. X-Forwarded-For 与 Remote Addr
kaifei的博客
03-14 853
文章目录简介Remote addrX-Forwarded-For配置反向代理 简介 X-Forwarded-For 是一个 HTTP 扩展部,主要是为了让 Web 服务器能够获取到客户端真实的 ip。(可以被伪造,客户端发送请求时可以 override 这个请求REMOTE_ADDR 表示与服务器进行 TCP 连接的 IP,这个值不能够被伪造。(TCP 连接会经过三次握手,如果伪造了,便没...
php $_server["remote_addr"];,php – 如何伪造$_SERVER [‘REMOTE_ADDR’]变量?
weixin_39627697的博客
03-11 715
我假设你的意思是远程制作。简短的答案是肯定的。关于它是多么容易的长答案取决于你想要如何假它。如果你不关心接收一个响应,它是开放一个原始套接字到目的地和伪造IP地址是微不足道的。我不确定是否真的很容易做PHP,因为所有的PHP的套接字实现在或高于TCP级别。但我相信这是可能的。现在,由于您不能控制网络,因此响应不会返回给您。所以这意味着你不能(可靠地)通过一个平凡的伪造TCP创建一个TCP连接(...
php置附加協議頭,php REMOTE_ADDR协议获取真实IP地址不可伪造
weixin_36258014的博客
03-11 188
REMOTE_ADDR协议获取真实IP地址不可伪造的今天就是讲给REMOTE_ADDR不可伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地址,路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是残酷的 也是完美的给个演示案例你吧:你就信了1.将以下代码保存...
php $_SERVER[‘‘REMOTE_ADDR‘] 获取IP并不真实
热门推荐
bkduck的专栏
11-23 4万+
php $_SERVER[”REMOTE_ADDR’] 获取IP并不真实bug 出现最近有个小项目投票上线了,结果发现投票没多久就出现投票不成功的错误(IP限制数超越错误)!bug 跟踪连上服务器的数据库一看,发现数据库IP记录清一色是167863555(ip转int后),这地址是服务器内网的IP,很可能就是服务器的代理IP。翻看Controller,发现IP获取是ip=ip = _SERVER[‘
PHP获得真实客户端的真实IP REMOTE_ADDR,HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR
hnxuwei的博客
01-31 1090
REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理”,REMOTE_ADDR将显示代理服务器的IP。 HTTP_CLIENT_IP 是代理服务器发送的HTTP。如果是“超级匿名代理”,则返回none值。同样,REMOTE_ADDR也会被替换为这个代理服务器的IP。$_SERVER['REMOTE_ADDR']; //访问端(有可能是用户,有可能是代理的)IP
php中HTTP_X_FORWARDED_FOR 和 REMOTE_ADDR
Jim的博客
08-23 977
1.REMOTE_ADDR:浏览当前页面的用户计算机的ip地址 2.HTTP_X_FORWARDED_FOR: 浏览当前页面的用户计算机的网关 3.HTTP_CLIENT_IP:客户端的ip 在PHP 中使用 $_SERVER["REMOTE_ADDR"] 来取得客户端的 IP 地址,但如果客户端是使用代理服务器来访问,那取到的就是代理服务器的 IP 地址,而不是真正的客户端 IP 地址
php $_server["remote_addr"];,如何伪造$ _SERVER ['REMOTE_ADDR']变量?
weixin_39543647的博客
03-11 917
我认为你的意思是远程伪造它。简短的回答是肯定的。关于它是多么容易的长期答案取决于你想要伪造它的方式。如果您不关心接收响应,那么打开原始套接字到目标并伪造IP地址就像是微不足道的。我不确定在PHP中是否真的很容易,因为所有PHP的套接字实现都达到或高于TCP级别。但我相信这是可能的。现在,由于您无法控制网络,因此响应不会再回复给您。这意味着你不能(可靠地)通过一个简单的伪造TCP创建一个TCP连...
获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
zymaxs的专栏
08-12 986
本文转载于网络,内容没有进过本人认证~~一、没有使用代理服务器的情况: REMOTE_ADDR = 您的 IP HTTP_VIA = 没数值或不显示 HTTP_X_FORWARDED_FOR = 没数值或不显示二、使用透明代理服务器的情况:Transparent Proxies REMOTE_ADD
php中$_SERVER参数HTTP_X_FORWARDED_FOR & REMOTE_ADDR与获取IP
shao.bing的专栏
09-20 1万+
php中$_SERVER参数HTTP_X_FORWARDED_FOR &REMOTE_ADDR与获取IP 在PHP 中使用 $_SERVER["REMOTE_ADDR"] 来取得客户端的 IP地址,但如果客户端是使用代理服务器来访问,那取到的就 是代理服务器的 IP 地址,而
getRomote获取不到真实ip地址
最新发布
06-06
在Web应用程序中,通常使用HTTP代理或负载均衡器来保护服务器免受直接的Internet流量攻击。这些代理服务器通过在HTTP中添加一些特殊的标,例如X-Forwarded-For以传递原始客户端的真实IP地址。 因此,如果您使用的是代理服务器或负载均衡器,请尝试使用X-Forwarded-For标获取客户端的真实IP地址。以下是使用Java Servlet API获取客户端真实IP地址的示例代码: ```java String remoteAddr = request.getHeader("X-Forwarded-For"); if (remoteAddr == null || remoteAddr.trim().isEmpty()) { remoteAddr = request.getRemoteAddr(); } ``` 在这个例子中,首先尝试获取X-Forwarded-For标,并将其用作客户端的真实IP地址。如果该标不存在,则使用request.getRemoteAddr()方法获取客户端IP地址。 请注意,由于X-Forwarded-For标可以被客户端伪造,因此您需要验证该标的值确实来自代理服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值