Warm tip: This article is reproduced from serverfault.com, please click
ip-address php

其他-在PHP中检索用户正确IP地址的最准确方法是什么?

(其他 - What is the most accurate way to retrieve a user's correct IP address in PHP?)

发布于 2009-10-28 02:03:26

我知道有太多的$ _SERVER变量标头可用于IP地址检索。我想知道是否就使用上述变量最准确地检索用户的真实IP地址(众所周知没有一种方法是完美的)是否达成共识?

我花了一些时间想找到一个深入的解决方案,并根据大量资源提出了以下代码。如果有人可以在答案中戳破洞或对也许更准确的内容有所了解,我会喜欢的。

编辑包括来自@Alix的优化

 /**
  * Retrieves the best guess of the client's actual IP address.
  * Takes into account numerous HTTP proxy headers due to variations
  * in how different ISPs handle IP addresses in headers between hops.
  */
 public function get_ip_address() {
  // Check for shared internet/ISP IP
  if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
   return $_SERVER['HTTP_CLIENT_IP'];

  // Check for IPs passing through proxies
  if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
   // Check if multiple IP addresses exist in var
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    foreach ($iplist as $ip) {
     if ($this->validate_ip($ip))
      return $ip;
    }
   }
  }
  if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
   return $_SERVER['HTTP_X_FORWARDED'];
  if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
   return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
  if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
   return $_SERVER['HTTP_FORWARDED_FOR'];
  if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
   return $_SERVER['HTTP_FORWARDED'];

  // Return unreliable IP address since all else failed
  return $_SERVER['REMOTE_ADDR'];
 }

 /**
  * Ensures an IP address is both a valid IP address and does not fall within
  * a private network range.
  *
  * @access public
  * @param string $ip
  */
 public function validate_ip($ip) {
     if (filter_var($ip, FILTER_VALIDATE_IP, 
                         FILTER_FLAG_IPV4 | 
                         FILTER_FLAG_IPV6 |
                         FILTER_FLAG_NO_PRIV_RANGE | 
                         FILTER_FLAG_NO_RES_RANGE) === false)
         return false;
     self::$ip = $ip;
     return true;
 }

警告语(更新)

REMOTE_ADDR仍然代表IP地址最可靠来源。$_SERVER远程客户端很容易欺骗这里提到的其他变量。该解决方案的目的是尝试确定位于代理后面的客户端的IP地址。为了你的一般目的,你可以考虑将其与直接从$_SERVER['REMOTE_ADDR']两者存储并返回的IP地址结合使用

对于99.9%的用户,此解决方案将完全满足你的需求。它不会通过注入自己的请求标头来保护你免受0.1%希望滥用系统的恶意用户的侵害。如果依靠IP地址执行某些关键任务,请诉诸于REMOTE_ADDR代理而不必理会这些代理。

Questioner
Corey Ballou
Viewed
22
分享
21.3k 2020-07-04 05:27:23

这是获取IP地址的更短,更简洁的方法:

function get_ip_address(){
    foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key){
        if (array_key_exists($key, $_SERVER) === true){
            foreach (explode(',', $_SERVER[$key]) as $ip){
                $ip = trim($ip); // just to be safe

                if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false){
                    return $ip;
                }
            }
        }
    }
}

你的代码似乎已经很完整了,我看不到其中的任何可能的错误(除了常见的IP警告),validate_ip()尽管如此,我还是将功能更改为依赖过滤器扩展:

public function validate_ip($ip)
{
    if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) === false)
    {
        return false;
    }

    self::$ip = sprintf('%u', ip2long($ip)); // you seem to want this

    return true;
}

你的HTTP_X_FORWARDED_FOR代码段也可以从此简化:

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    // check if multiple ips exist in var
    if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false)
    {
        $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        
        foreach ($iplist as $ip)
        {
            if ($this->validate_ip($ip))
                return $ip;
        }
    }
    
    else
    {
        if ($this->validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
            return $_SERVER['HTTP_X_FORWARDED_FOR'];
    }
}

对此:

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        
    foreach ($iplist as $ip)
    {
        if ($this->validate_ip($ip))
            return $ip;
    }
}

你可能还需要验证IPv6地址。

Corey Ballou 2010-01-09 13:37:05

我肯定会喜欢此filter_var修复程序,因为它删除了IP地址上的一些未经修饰的未经签名的int检查。我也喜欢这样的事实,它也使我可以选择验证IPv6地址。HTTP_X_FORWARDED_FOR优化也大加赞赏。几分钟后,我将更新代码。

rook 2011-06-24 23:38:02

-1这很容易受到欺骗,您正在做的就是询问用户他的IP地址应该是什么。

Alix Axel 2011-06-25 01:45:20

@Rook:是的,我知道。OP意识到了这一点,我在回答中也提到了这一点。但感谢您的评论。

darkAsPitch 2011-09-27 08:41:22

仅供参考:我必须删除FILTER_FLAG_IPV6才能使Alix Axel的代码正常工作。

rook 2016-02-01 11:20:58

@ rubenrp81 TCP套接字处理程序是唯一的规范来源,其他所有内容都由攻击者控制。上面的代码是攻击者的梦想。

热门帖子

1
卷死同行 gpt-4o 模型 1.4 折中转 接近官网 3.5 的价格!
2
各位大佬好,我是一名大学生,想请教一下大家有没有什么适合大学生的赚钱小项目?我深知赚钱不易,所以想在不影响学业的前提下,找一些小项目来赚点零花钱。希望各位大佬能不吝赐教,分享一些你们的经验和建议。谢谢大家啦!
3
虚心求教,数据量上亿的爬虫数据用什么该用什么数据库呢
4
联通推出了更便宜的 eSIM iPad 套餐
5
坐标深圳,收台主机,不急
6
google doc如何快速插入日期时间?
7
最近三年面了三百多人,给程序员和面试官们分享一下我的感受
8
求助-我想低成本批量搭建美国 ip 的 socks5 代理,有什么好的方式吗?
9
7 年 iOS, 2 年 Java
10
该换手机了,消息推送延时短的手机有哪些呢?

热门github

1
A multi-platform library for OpenGL, OpenGL ES, Vulkan, window and input (翻译:适用于 OpenGL、OpenGL ES、Vulkan、窗口和输入的多平台库)
2
Dev tool that writes scalable apps from scratch while the developer oversees the implementation (翻译:可扩展开发工具的 PoC,该工具从头开始编写整个应用程序,同时开发人员监督实施)
3
shadcn/ui, but for Svelte. ✨ (翻译:shadcn-svelte是shadcn/ui的非官方社区主导的Svelte端口。)
4
The Python Risk Identification Tool for generative AI (PyRIT) is an open access automation framework to empower security professionals and machine learning engineers to proactively find risks in their generative AI systems. (翻译:用于生成式 AI 的 Python 风险识别工具 (PyRIT) 是一个开放式访问自动化框架,使安全专业人员和机器学习工程师能够主动发现其生成式 AI 系统中的风险。)
5
Performance-portable, length-agnostic SIMD with runtime dispatch (翻译:Highway 是一个提供可移植 SIMD/向量内在函数的 C++ 库。)
6
ZK Credo (翻译:ZK信条)
7
OpenCodeInterpreter: Integrating Code Generation with Execution and Refinement (翻译:OpenCodeInterpreter:将代码生成与执行和优化集成)
8
Joplin - the secure note taking and to-do app with synchronisation capabilities for Windows, macOS, Linux, Android and iOS. (翻译:Joplin - 一个开源的笔记和待办事项应用程序,具有Windows,macOS,Linux,Android和iOS的同步功能。)
9
Mamba is a new state space model architecture showing promising performance on information-dense data such as language modeling, where previous subquadratic models fall short of Transformers. It is based on the line of progress on structured state space models, with an efficient hardware-aware design and implementation in the spirit of FlashAttention. (翻译:Mamba 是一种新的状态空间模型架构,在信息密集型数据(例如语言建模)上显示出良好的性能,而之前的二次模型在 Transformers 方面存在不足。它基于结构化状态空间模型的进展,并本着FlashAttention的精神进行高效的硬件感知设计和实现。)
10
This repository contains System Design resources which are useful while preparing for interviews and learning Distributed Systems (翻译:该存储库包含系统设计资源,在准备面试和学习分布式系统时非常有用)
11
Curso para aprender el lenguaje de programación Python desde cero y para principiantes. 75 clases, 37 horas en vídeo, código, proyectos y grupo de chat. Fundamentos, frontend, backend, testing, IA... (翻译:从零开始学习 Python 编程语言的课程,适合初学者)
12
🎓 Path to a free self-taught education in Computer Science! (翻译:🎓计算机科学免费自学教程!)
13
1️⃣🐝🏎️ The One Billion Row Challenge -- A fun exploration of how quickly 1B rows from a text file can be aggregated with Java (翻译:十亿行挑战 —— 使用 Java 对文本文件中的 10 亿行数据进行聚合的有趣探索)
14
A collective list of free APIs (翻译:免费 API 的集合列表)
15
📚 Freely available programming books (翻译:📚 免费提供的编程书籍)