PHP獲取客戶端IP常用方法及安全隱患

原創 W_hale 2019-04-02 06:26

一般方法:

IP獲取:先取 HTTP_CLIENT_IP的值,其次是 HTTP_X_FORWARDED_FOR,最後是 REMOTE_ADDR :

/**
 * 獲取ip地址
 * @return string|null
 */
public static function getIp()
{
    $ip = '';
    if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
        $ip = $_SERVER['HTTP_CLIENT_IP'];
    } elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
        $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    return $ip;
}

1.HTTP_CLIENT_IP頭是有的,但未成標準,不一定服務器都實現。

2.HTTP_X_FORWARDED_FOR 是有標準定義,用來識別經過HTTP代理後的客戶端IP地址,格式:clientip,proxy1,proxy2。詳情

3.REMOTE_ADDR 是可靠的, 它是最後一個跟你的服務器握手的IP,可能是用戶的代理服務器,也可能是自己的反向代理。關於僞造: HTTP_*頭都很容易僞造。例如使用火狐插件僞造HTTP_X_FORWARDED_FOR 的IP爲 8.8.8.8,此時清掉cookie再訪問訪問, 獲取到的是 8.8.8.8。參考

代碼安全隱患:

  • HTTP_CLIENT_IP頭都是可以僞造的,所以就會造成獲取IP不是真實IP,但並不意味着它們一無是處,生產環境中很多服務器隱藏在負載均衡節點後面,一般負載均衡節點會把前端實際的IP地址通過HTTP_CLIENT_IP,通過HTTP_CLIENT_IP只能獲取的負載均衡節點的IP地址。
  • REMOTE_ADDR不可以顯式的僞造,雖然可以通過代理將IP地址隱藏,但是這個地址仍然具有參考價值,因爲它就是與你的服務器實際連接的IP地址。後端讀取這個值就是真實可信的,因爲它是負載均衡節點告訴你的而不是客戶端。但當你的服務器直接暴露在客戶端前面的時候,請不要信任這兩種讀取方法,只需要讀取REMOTE_ADDR。

解決方案:

在上述代碼中對IP進行過濾

/**
 * 獲取ip地址
 * @return string|null
 */
public static function getIp()
{
    $ip = '';
    if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) {
        $ip = $_SERVER['HTTP_CLIENT_IP'];
    } elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) {
        $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
 
    preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/', $ip, $match);
    return $match ? $match[0] : null;
}

/**
 * 獲取當前環境的ip地址
 * @return string|null
 */
public static function getIp()
{
    foreach (array(
                 'HTTP_CLIENT_IP',
                 'HTTP_X_FORWARDED_FOR',
                 'HTTP_X_FORWARDED',
                 'HTTP_X_CLUSTER_CLIENT_IP',
                 'HTTP_FORWARDED_FOR',
                 'HTTP_FORWARDED',
                 'REMOTE_ADDR') as $key) {
        if (array_key_exists($key, $_SERVER)) {
            foreach (explode(',', $_SERVER[$key]) as $ip) {
                $ip = trim($ip);
                //會過濾掉保留地址和私有地址段的IP,例如 127.0.0.1會被過濾
                //也可以修改成正則驗證IP
                if ((bool) filter_var($ip, FILTER_VALIDATE_IP,
                    FILTER_FLAG_IPV4 |
                    FILTER_FLAG_NO_PRIV_RANGE |
                    FILTER_FLAG_NO_RES_RANGE)) {
                    return $ip;
                }
            }
        }
    }
    return null;
}

轉載自:https://blog.csdn.net/qq292913477/article/details/81663432

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

PHP 代碼行數統計

<?php // 行數 $line = 0; // 需要統計的文件類型 $arr = array("php", "html", "css", "js"); // 過濾的文件夾 $filtering = array("ui", "dist

avenjan 2020-07-08 12:38:08

慎用PHP $_REQUEST數組

我平時總是喜歡用$_REQUEST這個數組,不是因爲別的,簡單,而且想用GET時候就用GET直接測試即可。還可以把URL打出來,很是方便。從而很少用$_GET和$_POST超全局變量。 不過,從今以後我會盡量不再使用$_REQUEST

二两天涯 2020-07-08 12:16:43

php函數名前面加@是何意

一、、、、@ 運算符只對表達式有效。對新手來說一個簡單的規則就是:如果能從某處得到值,就能在它前面加上 @ 運算符。例如,可以把它放在變量,函數和 include() 調用,常量,等等之前。不能把它放在函數或類的定義之前,也不能用於條件

二两天涯 2020-07-08 12:16:42

PHP和Javascript的JSON交互(處理一個二維數組)(轉)

xmphoenix 2020-07-08 12:00:47

php,checkbox多選框上傳失敗

用慣java和其他語言的時候,表單上傳只需要checkbox的name相同的時候就可以上傳了 <input type="checkbox" name="checkbox" value="1"> 選項1 <input type="c

阿冰介 2020-07-08 11:48:15

php中的&&運算符

今天看discuz源碼,在一個函數裏發現這麼個語句: http:// $output && print($ret); 其中$output是這個函數的一個參數,值爲true或false;$ret是一個字符串. 測試了一下,如果$output

yangmingysc 2020-07-08 11:45:39

php+mysql存儲html文件

$fileContent = trim($fileContent); $fileContent=$queueList->characet($fileContent);

moliyiran 2020-07-08 11:15:53

php+go實現grpc

1.先安裝編譯器:https://github.com/google/protobuf/releases把bin下的exe放到環境PATH目錄。做成環境變量. 2.獲取go支持庫的插件: // gRPC運行時接口編解碼支持庫 g

moliyiran 2020-07-08 11:15:42

Linux中PHP鏈接擴展.so動態庫

前幾天的一個實驗中涉及到使用PHP將本地文件部署到雲端,但是具體的實現卻還是需要費一番手腳,在網上找到的資料很多都沒辦法解決我自己遇到的實際困難,因此記錄下來僅供參考。 1、初始 我使用的雲端服務器是CentOS7.6,PHP版本是PHP

寒. 2020-07-08 11:14:55

PHP之TRUE與FALSE總結

以下代碼主要用於測試PHP中進行條件判斷時各種情況。 <?php /** * the file use to test all kinds of true and false. */ class Sample { public f

taotaoyouarebaby 2020-07-08 11:05:39

PHP配置使PHP在頁面中支持輸出內容

解決辦法: 找到系統中php.ini文件編輯,查找short_open_tag關鍵字,並將其設置爲:short_open_tag = On 注:需要找到short_open_tag = xx片段,可能會找到描述片段,修改並不起

念旧丶 2020-07-08 11:00:42

php操作xml最快的速度學習

做分享做總結 不多嗶嗶,直接上代碼:掌握php如何通過dom對象創建xml文件,php如何讀取xml及如何讀取xml文件,獲取到讀取的xml對象就可以直接操作了  <?php /** * Created by PhpStorm. *

jacklin_001 2020-07-08 10:52:26

wordpress數據字典

1.wordpress數據字典: 1.wp_categories: 用於保存分類相關信息的表。包括了5個字段,分別是: cat_ID – 每個分類唯一的ID號,爲一個bigint(20)值,且帶有附加屬性au

incloud_anke 2020-07-08 10:22:11

linux下面安裝php xdebug擴展

1.在框架裏經常會遇到debug模式!開啓選項就可以通過日誌文件快速的定位到問題 在win下面通過集成的開發包比如phpstudy就可以很容易的安裝xdebug的擴展 2.在linux下面就要通過編譯安裝來實現xde

incloud_anke 2020-07-08 10:22:10

wordpress rest api插件使用

1.wordpress rest api 插件下載: https://wordpress.org/plugins/rest-api/ 2.將下載的包解壓到wp-content/plugins目錄下 3.刷新後

incloud_anke 2020-07-08 10:22:10