一般方法:
IP獲取:先取 HTTP_CLIENT_IP的值,其次是 HTTP_X_FORWARDED_FOR,最後是 REMOTE_ADDR :
/**
* 獲取ip地址
* @return string|null
*/
public static function getIp()
{
$ip = '';
if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
}
return $ip;
}
1.HTTP_CLIENT_IP頭是有的,但未成標準,不一定服務器都實現。
2.HTTP_X_FORWARDED_FOR 是有標準定義,用來識別經過HTTP代理後的客戶端IP地址,格式:clientip,proxy1,proxy2。詳情
3.REMOTE_ADDR 是可靠的, 它是最後一個跟你的服務器握手的IP,可能是用戶的代理服務器,也可能是自己的反向代理。關於僞造: HTTP_*頭都很容易僞造。例如使用火狐插件僞造HTTP_X_FORWARDED_FOR 的IP爲 8.8.8.8,此時清掉cookie再訪問訪問, 獲取到的是 8.8.8.8。參考
代碼安全隱患:
- HTTP_CLIENT_IP頭都是可以僞造的,所以就會造成獲取IP不是真實IP,但並不意味着它們一無是處,生產環境中很多服務器隱藏在負載均衡節點後面,一般負載均衡節點會把前端實際的IP地址通過HTTP_CLIENT_IP,通過HTTP_CLIENT_IP只能獲取的負載均衡節點的IP地址。
- REMOTE_ADDR不可以顯式的僞造,雖然可以通過代理將IP地址隱藏,但是這個地址仍然具有參考價值,因爲它就是與你的服務器實際連接的IP地址。後端讀取這個值就是真實可信的,因爲它是負載均衡節點告訴你的而不是客戶端。但當你的服務器直接暴露在客戶端前面的時候,請不要信任這兩種讀取方法,只需要讀取REMOTE_ADDR。
解決方案:
在上述代碼中對IP進行過濾
/**
* 獲取ip地址
* @return string|null
*/
public static function getIp()
{
$ip = '';
if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
$ip = $_SERVER['REMOTE_ADDR'];
}
preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/', $ip, $match);
return $match ? $match[0] : null;
}
/**
* 獲取當前環境的ip地址
* @return string|null
*/
public static function getIp()
{
foreach (array(
'HTTP_CLIENT_IP',
'HTTP_X_FORWARDED_FOR',
'HTTP_X_FORWARDED',
'HTTP_X_CLUSTER_CLIENT_IP',
'HTTP_FORWARDED_FOR',
'HTTP_FORWARDED',
'REMOTE_ADDR') as $key) {
if (array_key_exists($key, $_SERVER)) {
foreach (explode(',', $_SERVER[$key]) as $ip) {
$ip = trim($ip);
//會過濾掉保留地址和私有地址段的IP,例如 127.0.0.1會被過濾
//也可以修改成正則驗證IP
if ((bool) filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_IPV4 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE)) {
return $ip;
}
}
}
}
return null;
}
轉載自:https://blog.csdn.net/qq292913477/article/details/81663432