使用PHP获取客户端IP应该注意的地方
2011-12-28 15:37
639 查看
相信大部分开发者都会用到获取客户IP的这个功能,先贴上一段网上常见的代码
相信很多人都在使用类似上面的代码在获取用户IP,但很多人不知道的是这样做是存在很大隐患的。
问题就出在了$_SERVER["HTTP_X_FORWARDED_FOR"]这个变量上,
我先来讲下这个变量是从哪里来的吧:
此变量是通过HTTP协议的头信息的X_FORWARDED_FOR字段由客户端发送给服务端的,所以这个变量的值用户是可能随意篡改的。特别是对那些通过IP来进行用户访问权限控制时,当你使用了上面的代码来获取IP,那么你的IP限制就会形同虚设,用户可以很容易的绕过(当然了,这需要用户先知道IP白名单,但对于很多针对性攻击获取这个IP并不算是难事)。
还有很多时候我们获取用户IP只是为了做统计,一般我们会把$_SERVER["HTTP_X_FORWARDED_FOR"]这个变量的值插入数据库,这时候就需要注意了,因为这个值用户可以任意修改,所以在插入数据库前必须做防SQL注入过滤。
所以我建议在使用IP进行权限控制时尽量只使用$_SERVER['REMOTE_ADDR']的值,当要统计用户真实IP时可以使用$_SERVER["HTTP_X_FORWARDED_FOR"]这个值,但必须要清楚这个值可能会是虚假的IP。
function getIP() { static $realip; if (isset($_SERVER)){ if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])){ $realip = $_SERVER["HTTP_X_FORWARDED_FOR"]; } else if (isset($_SERVER["HTTP_CLIENT_IP"])) { $realip = $_SERVER["HTTP_CLIENT_IP"]; } else { $realip = $_SERVER["REMOTE_ADDR"]; } } else { if (getenv("HTTP_X_FORWARDED_FOR")){ $realip = getenv("HTTP_X_FORWARDED_FOR"); } else if (getenv("HTTP_CLIENT_IP")) { $realip = getenv("HTTP_CLIENT_IP"); } else { $realip = getenv("REMOTE_ADDR"); } } return $realip; }
相信很多人都在使用类似上面的代码在获取用户IP,但很多人不知道的是这样做是存在很大隐患的。
问题就出在了$_SERVER["HTTP_X_FORWARDED_FOR"]这个变量上,
我先来讲下这个变量是从哪里来的吧:
此变量是通过HTTP协议的头信息的X_FORWARDED_FOR字段由客户端发送给服务端的,所以这个变量的值用户是可能随意篡改的。特别是对那些通过IP来进行用户访问权限控制时,当你使用了上面的代码来获取IP,那么你的IP限制就会形同虚设,用户可以很容易的绕过(当然了,这需要用户先知道IP白名单,但对于很多针对性攻击获取这个IP并不算是难事)。
还有很多时候我们获取用户IP只是为了做统计,一般我们会把$_SERVER["HTTP_X_FORWARDED_FOR"]这个变量的值插入数据库,这时候就需要注意了,因为这个值用户可以任意修改,所以在插入数据库前必须做防SQL注入过滤。
所以我建议在使用IP进行权限控制时尽量只使用$_SERVER['REMOTE_ADDR']的值,当要统计用户真实IP时可以使用$_SERVER["HTTP_X_FORWARDED_FOR"]这个值,但必须要清楚这个值可能会是虚假的IP。
相关文章推荐
- PHP使用memcache长连接作为RPC客户端需要注意的地方
- 使用PHP获取用户客户端真实IP的解决方案
- 使用PHP获取用户客户端真实IP的解决方案
- Android使用ListView应该注意的地方
- php获取客户端IP
- php获取客户端ip get_client_ip()
- php获取客户端与服务器端IP
- JAVA/PHP服务器端获取客户端IP
- 深入分析几种PHP获取客户端IP的情况
- 使用资源文件应该注意的地方
- c 语言中fread()函数使用时应该注意的地方
- android开发使用TextView/EditText应该注意的地方
- 使用ListView应该注意的地方
- 使用ListView应该注意的地方 很全
- php 获取当前客户端ip
- PHP如何获取客户端真实IP
- 使用nginx的反向代理后play获取不到客户端的ip的问题
- PHP获取客户端的真实IP
- php 获取客户端的真实IP地址 和 检查客户端从什么地方过来的请求
- [PHP] 获取客户端IP的几种方法