PHP获取客户端IP常用方法及安全隐患
2018-08-14 11:57
423 查看
如何获取IP归属地,请参照我另一篇博文: 第三方接口获取IP归属地
目前网上获取
IP的常见代码如下:
[code]/** * 获取ip地址 * @return string|null */ public static function getIp() { $ip = ''; if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) { $ip = $_SERVER['HTTP_CLIENT_IP']; } elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) { $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; } elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) { $ip = $_SERVER['REMOTE_ADDR']; } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) { $ip = $_SERVER['REMOTE_ADDR']; } return $ip; }
IP获取:先取 HTTP_CLIENT_IP的值,其次是 HTTP_X_FORWARDED_FOR,最后是 REMOTE_ADDR :
-
HTTP_CLIENT_IP
头是有的,但未成标准,不一定服务器都实现。 -
HTTP_X_FORWARDED_FOR
是有标准定义,用来识别经过HTTP代理
后的客户端IP地址,格式:clientip,proxy1,proxy2
。详情见: http://zh.wikipedia.org/wiki/X-Forwarded-For -
REMOTE_ADDR
是可靠的, 它是最后一个跟你的服务器握手的IP
,可能是用户的代理服务器,也可能是自己的反向代理。关于伪造:HTTP_*
头都很容易伪造。例如使用火狐插件伪造HTTP_X_FORWARDED_FOR
的
IP
为8.8.8.8
,此时清掉cookie再访问访问, 获取到的是8.8.8.8
。参考: sf上另一个关于伪造IP的问题
代码安全隐患:
-
HTTP_CLIENT_IP
头都是可以伪造的,所以就会造成获取IP
不是真实IP
,但并不意味着它们一无是处,生产环境中很多服务器隐藏在负载均衡节点后面,一般负载均衡节点会把前端实际的IP
地址通过HTTP_CLIENT_IP,
通过HTTP_CLIENT_IP
只能获取的负载均衡节点的IP
地址。 -
REMOTE_ADDR
不可以显式的伪造,虽然可以通过代理将IP
地址隐藏,但是这个地址仍然具有参考价值,因为它就是与你的服务器实际连接的IP
地址。后端读取这个值就是真实可信的,因为它是负载均衡节点告诉你的而不是客户端。但当你的服务器直接暴露在客户端前面的时候,请不要信任这两种读取方法,只需要读取REMOTE_ADDR。
解决方案:在上述代码中对
IP进行过滤
[code]/** * 获取ip地址 * @return string|null */ public static function getIp() { $ip = ''; if ($_SERVER['HTTP_CLIENT_IP'] && strcasecmp($_SERVER['HTTP_CLIENT_IP'], 'unknown')) { $ip = $_SERVER['HTTP_CLIENT_IP']; } elseif ($_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown')) { $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; } elseif (isset($_SERVER['REMOTE_ADDR']) && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) { $ip = $_SERVER['REMOTE_ADDR']; } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) { $ip = $_SERVER['REMOTE_ADDR']; } preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/', $ip, $match); return $match ? $match[0] : null; }
另附一份不错的代码:
[code]/** * 获取当前环境的ip地址 * @return string|null */ public static function getIp() { foreach (array( 'HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key) { if (array_key_exists($key, $_SERVER)) { foreach (explode(',', $_SERVER[$key]) as $ip) { $ip = trim($ip); //会过滤掉保留地址和私有地址段的IP,例如 127.0.0.1会被过滤 //也可以修改成正则验证IP if ((bool) filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 | FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) { return $ip; } } } } return null; }
以上为个人学习总结,如有问题,烦请指出,谢谢!
阅读更多相关文章推荐
- PHP 获取客户端 IP 地址的方法实例代码
- php获取客户端IP及URL的方法示例
- PHP获取客户端IP的方法
- PHP中获取客户端IP、服务器IP的方法
- [PHP] 获取客户端IP的几种方法
- PHP获取客户端IP的方法
- Nginx反向代理导致PHP获取不到正确的HTTP_HOST,SERVER_NAME,客户端IP的解决方法
- Nginx反向代理导致PHP获取不到正确的HTTP_HOST,SERVER_NAME,客户端IP的解决方法
- 用php获取客户端IP地址的方法,具体代码如下:
- 用php获取客户端IP地址的方法
- 深入分析几种PHP获取客户端IP的情况
- php获取客户端IP地址的几种方法
- PHP获取客户端IP
- PHP 获取客户端真实IP地址多种方法小结
- php 获取客户端的真实ip
- 用JS获取客户端IP的方法
- BS架构中 获取 客户端IP 的方法
- 用JS获取客户端IP的方法
- 网页获取客户端IP的两种方法