你真的瞭解 IP 嗎,PHP 如何嚴格獲取真實使用者 IP?
PHP 裡用來獲取客戶端 IP 的變數有這些:
-
$_SERVER['HTTP_CLIENT_IP']
這個頭是有的,但是很少,不一定伺服器都實現了。客戶端可以偽造。 -
$_SERVER['HTTP_X_FORWARDED_FOR']
是有標準定義,用來識別經過 HTTP 代理後的客戶端 IP 地址,格式:clientip,proxy1,proxy2。詳細解釋見http://zh.wikipedia.org/wiki/X-Forwarded-F...。 客戶端可以偽造。 -
$_SERVER['REMOTE_ADDR']
是可靠的, 它是最後一個跟你的伺服器握手的 IP,可能是使用者的代理伺服器,也可能是自己的反向代理。客戶端不能偽造。客戶端可以偽造的引數必須過濾和驗證!很多人以為 $_SERVER 變數裡的東西都是可信的,其實並不不然,
$_SERVER['HTTP_CLIENT_IP']
和$_SERVER['HTTP_X_FORWARDED_FOR']
都來自客戶端請求的 header 裡面。
如果要嚴格獲取使用者真實 ip
在反爬蟲,防刷票的時候,客戶端可以偽造的東西,我們一律不信任,此為嚴格獲取。
-
沒有套 CDN,使用者直連我們的 PHP 伺服器
這種情況下用 tcp 層握手的 ip,
$_SERVER['REMOTE_ADDR']
-
自建叢集用 nginx 實現負載均衡的時候
這種情況下,PHP 應用伺服器不能對外暴露,我們在 nginx 中實現獲取真實 IP 再換髮給 PHP 伺服器。
location /{ proxy_set_header client-real-ip $remote_addr; }
client-real-ip 可以隨意自己命名,我們將 tcp 層中跟 nginx 握手的 ip 轉發給 PHP。
-
使用 CDN,從 PHP 伺服器取源的時候
CDN 會轉發客戶端的握手 ip 過來,各家策略有差異,具體去查 CDN 的文件。
當然我們也可以把需要嚴格核查的業務綁一個二級域名,單獨走我們自己的 nginx 伺服器,避開 CDN。
如果要寬鬆獲取使用者 ip
這種情況比較簡單,也是大部分開源程式使用的方式,因為他們要適應最廣泛的部署環境,
依次獲取和過濾,$_SERVER['HTTP_CLIENT_IP']
$_SERVER['HTTP_X_FORWARDED_FOR']
的第一個 ip,$_SERVER['REMOTE_ADDR']
,誰先有值先用誰。注意這種方式,客戶端可以提交假 ip 來欺騙伺服器。
PHP 如何驗證和過濾客戶端提交過來的 ip
推薦使用 PHP 自帶的過濾器,http://php.net/manual/zh/function.filter-v...
$ip = filter_var($originIp, FILTER_VALIDATE_IP)
一點小技巧
我們存 IP 到資料庫的時候可以使用ip2long()
把 ip 地址轉換成數字,搜尋和排序可以更快。要顯示到前端的時候再long2ip()
轉換回來