你真的了解 IP 吗,PHP 如何严格获取真实用户 IP?

PHP里用来获取客户端IP的变量有这些:

  • $_SERVER['HTTP_CLIENT_IP']这个头是有的,但是很少,不一定服务器都实现了。客户端可以伪造。

  • $_SERVER['HTTP_X_FORWARDED_FOR'] 是有标准定义,用来识别经过HTTP代理后的客户端IP地址,格式:clientip,proxy1,proxy2。详细解释见 http://zh.wikipedia.org/wiki/X-Forwarded-F...。 客户端可以伪造。

  • $_SERVER['REMOTE_ADDR'] 是可靠的, 它是最后一个跟你的服务器握手的IP,可能是用户的代理服务器,也可能是自己的反向代理。客户端不能伪造。

    客户端可以伪造的参数必须过滤和验证!很多人以为$_SERVER变量里的东西都是可信的,其实并不不然,$_SERVER['HTTP_CLIENT_IP']$_SERVER['HTTP_X_FORWARDED_FOR']都来自客户端请求的header里面。

如果要严格获取用户真实ip

在反爬虫,防刷票的时候,客户端可以伪造的东西,我们一律不信任,此为严格获取。

  1. 没有套CDN,用户直连我们的PHP服务器

    这种情况下用tcp层握手的ip,$_SERVER['REMOTE_ADDR']

  2. 自建集群用nginx实现负载均衡的时候

    这种情况下,PHP应用服务器不能对外暴露,我们在nginx中实现获取真实IP再换发给PHP服务器。

    location /{
       proxy_set_header client-real-ip $remote_addr;
    }

    client-real-ip 可以随意自己命名,我们将tcp层中跟nginx握手的ip转发给PHP。

  3. 使用CDN,从PHP服务器取源的时候

    CDN会转发客户端的握手ip过来,各家策略有差异,具体去查CDN的文档。

    当然我们也可以把需要严格核查的业务绑一个二级域名,单独走我们自己的nginx服务器,避开CDN。

如果要宽松获取用户ip

这种情况比较简单,也是大部分开源程序使用的方式,因为他们要适应最广泛的部署环境,
依次获取和过滤,$_SERVER['HTTP_CLIENT_IP']$_SERVER['HTTP_X_FORWARDED_FOR']的第一个ip,$_SERVER['REMOTE_ADDR'],谁先有值先用谁。注意这种方式,客户端可以提交假ip来欺骗服务器。

PHP如何验证和过滤客户端提交过来的ip

推荐使用PHP自带的过滤器,http://php.net/manual/zh/function.filter-v...

$ip = filter_var($originIp, FILTER_VALIDATE_IP)

一点小技巧

我们存IP到数据库的时候可以使用ip2long()把ip地址转换成数字,搜索和排序可以更快。要显示到前端的时候再long2ip()转换回来

博客:https://gargantuax.github.io/blog/2017-02/...

本帖已被设为精华帖!
本帖由 Summer 于 6年前 加精
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
讨论数量: 15
leo

面试的时候我必问的题就是如何获取真实IP,能答对的人寥寥无几

7年前 评论

涨姿势了

7年前 评论

ip2long要注意有些ip转换变负数

7年前 评论

@leo 不会的基本都是没接触过大流量网站的

7年前 评论

多谢分享

6年前 评论
gitxuzan

长见识

6年前 评论

@eddy8 不是没接触过大流量网站。是没搞明白 客户端-》webserver-》fastcgi 中间这点事儿

6年前 评论

@eddy8 不会的 都是对技术没有好奇心 不探索的

6年前 评论
Destiny

腻害腻害。。

6年前 评论
DukeAnn

@leo 一看我就不合格

6年前 评论

对webserver 以及 cgi fastcgi 还是不清楚的同学, 可以看一下这篇文章, 介绍的很好.
https://zhuanlan.zhihu.com/p/20694204

6年前 评论

@leo 好,你们公司在哪,我去

5年前 评论

为什么设置了

http{
   underscores_in_headers on;
   proxy_set_header client-real-ip $remote_addr;
   proxy_set_header            X-Forwarded-For $proxy_add_x_forwarded_for;
}

请求头里还是看不到这个变量;$_SERVER里查不到ip

4年前 评论

如果挂了vpn 也是代理服务器的ip哈,还是拿不到真实用户ip呀,在这种情况下有办法获取到用户真实Ip吗

3年前 评论

如果用户挂了vpn还是只能获取代理服务器的ip哈,这种情况下有办法获取到真实用户的ip吗

3年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!