PHP 裡用來獲取客戶端 IP 的變數有這些:

• $_SERVER['HTTP_CLIENT_IP']這個頭是有的，但是很少，不一定伺服器都實現了。客戶端可以偽造。

• $_SERVER['HTTP_X_FORWARDED_FOR']是有標準定義，用來識別經過 HTTP 代理後的客戶端 IP 地址，格式：clientip,proxy1,proxy2。詳細解釋見http://zh.wikipedia.org/wiki/X-Forwarded-F...。 客戶端可以偽造。

• $_SERVER['REMOTE_ADDR']是可靠的， 它是最後一個跟你的伺服器握手的 IP，可能是使用者的代理伺服器，也可能是自己的反向代理。客戶端不能偽造。

  客戶端可以偽造的引數必須過濾和驗證！很多人以為 $_SERVER 變數裡的東西都是可信的，其實並不不然，$_SERVER['HTTP_CLIENT_IP']和$_SERVER['HTTP_X_FORWARDED_FOR']都來自客戶端請求的 header 裡面。

如果要嚴格獲取使用者真實 ip

在反爬蟲，防刷票的時候，客戶端可以偽造的東西，我們一律不信任，此為嚴格獲取。

1. 沒有套 CDN，使用者直連我們的 PHP 伺服器

   這種情況下用 tcp 層握手的 ip，$_SERVER['REMOTE_ADDR']

2. 自建叢集用 nginx 實現負載均衡的時候

   這種情況下，PHP 應用伺服器不能對外暴露，我們在 nginx 中實現獲取真實 IP 再換髮給 PHP 伺服器。

   location /{
      proxy_set_header client-real-ip $remote_addr;
   }

   client-real-ip 可以隨意自己命名，我們將 tcp 層中跟 nginx 握手的 ip 轉發給 PHP。

3. 使用 CDN，從 PHP 伺服器取源的時候

   CDN 會轉發客戶端的握手 ip 過來，各家策略有差異，具體去查 CDN 的文件。

   當然我們也可以把需要嚴格核查的業務綁一個二級域名，單獨走我們自己的 nginx 伺服器，避開 CDN。

如果要寬鬆獲取使用者 ip

這種情況比較簡單，也是大部分開源程式使用的方式，因為他們要適應最廣泛的部署環境，
依次獲取和過濾，$_SERVER['HTTP_CLIENT_IP']

PHP 如何驗證和過濾客戶端提交過來的 ip

推薦使用 PHP 自帶的過濾器，http://php.net/manual/zh/function.filter-v...

$ip = filter_var($originIp, FILTER_VALIDATE_IP)

一點小技巧

我們存 IP 到資料庫的時候可以使用ip2long()把 ip 地址轉換成數字，搜尋和排序可以更快。要顯示到前端的時候再long2ip()轉換回來