使用PHP获取客户端IP应该注意的地方

相信大部分开发者都会用到获取客户IP的这个功能，先贴上一段网上常见的代码

function getIP()
{
static $realip;
if (isset($_SERVER)){
if (isset($_SERVER["HTTP_X_FORWARDED_FOR"])){
$realip = $_SERVER["HTTP_X_FORWARDED_FOR"];
} else if (isset($_SERVER["HTTP_CLIENT_IP"])) {
$realip = $_SERVER["HTTP_CLIENT_IP"];
} else {
$realip = $_SERVER["REMOTE_ADDR"];
}
} else {
if (getenv("HTTP_X_FORWARDED_FOR")){
$realip = getenv("HTTP_X_FORWARDED_FOR");
} else if (getenv("HTTP_CLIENT_IP")) {
$realip = getenv("HTTP_CLIENT_IP");
} else {
$realip = getenv("REMOTE_ADDR");
}
}

return $realip;
}

相信很多人都在使用类似上面的代码在获取用户IP，但很多人不知道的是这样做是存在很大隐患的。
问题就出在了$_SERVER["HTTP_X_FORWARDED_FOR"]这个变量上，
我先来讲下这个变量是从哪里来的吧：
此变量是通过HTTP协议的头信息的X_FORWARDED_FOR字段由客户端发送给服务端的，所以这个变量的值用户是可能随意篡改的。特别是对那些通过IP来进行用户访问权限控制时，当你使用了上面的代码来获取IP，那么你的IP限制就会形同虚设，用户可以很容易的绕过（当然了，这需要用户先知道IP白名单，但对于很多针对性攻击获取这个IP并不算是难事）。

还有很多时候我们获取用户IP只是为了做统计，一般我们会把$_SERVER["HTTP_X_FORWARDED_FOR"]这个变量的值插入数据库，这时候就需要注意了，因为这个值用户可以任意修改，所以在插入数据库前必须做防SQL注入过滤。

所以我建议在使用IP进行权限控制时尽量只使用$_SERVER['REMOTE_ADDR']的值，当要统计用户真实IP时可以使用$_SERVER["HTTP_X_FORWARDED_FOR"]这个值，但必须要清楚这个值可能会是虚假的IP。