-
HTTP_CLIENT_IP頭是有的,但未成標準,不一定服務器都實現。
HTTP_CLIENT_IP頭都是可以僞造的,所以就會造成獲取IP不是真實IP,但並不意味着它們一無是處,生產環境中很多服務器隱藏在負載均衡節點後面,一般負載均衡節點會把前端實際的IP地址通過HTTP_CLIENT_IP,通過HTTP_CLIENT_IP只能獲取的負載均衡節點的IP地址。
-
HTTP_X_FORWARDED_FOR 是有標準定義,用來識別經過HTTP代理後的客戶端IP地址,格式:clientip,proxy1,proxy2。https://zh.wikipedia.org/wiki/X-Forwarded-For
**HTTP_***頭都很容易僞造。
-
REMOTE_ADDR 是可靠的, 它是最後一個跟你的服務器握手的
IP,可能是用戶的代理服務器,也可能是自己的反向代理。所以儘量記錄相關信息進行判斷:
/**
* todo:獲取客戶端ip
* @return array
*/
public static function GetIp(): array
{
// 保存可靠IP爲基準,其他IP保留備份
$arr = array('ip'=>$_SERVER['REMOTE_ADDR']);
$AllIP = array();
$_SERVER['HTTP_CLIENT_IP'] = '0.0.0.0';
foreach (array(
'HTTP_CLIENT_IP',
'HTTP_X_FORWARDED_FOR',
'HTTP_X_FORWARDED',
'HTTP_X_CLUSTER_CLIENT_IP',
'HTTP_FORWARDED_FOR',
'HTTP_FORWARDED',
'REMOTE_ADDR') as $key) {
if (array_key_exists($key, $_SERVER)) {
foreach (explode(',', $_SERVER[$key]) as $ip) {
$ip = trim($ip);
// filter_var PHP 原生過濾方法
// filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)
// FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP (比如 192.168.0.1)
// FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 範圍內。該標誌接受 IPV4 和 IPV6 值。
if (filter_var($ip, FILTER_VALIDATE_IP)) {
$AllIP[$key] = $ip;
}
}
}
}
$arr['AllIP'] = $AllIP;
return $arr;
}