PHP獲取客戶端真實(shí)IP地址，需要根據(jù)具體的服務(wù)器環(huán)境來(lái)確定使用哪種方法。目前搜索到的方法，大多是直接貼代碼，沒有針對(duì)不同情況作出說(shuō)明，有可能導(dǎo)致系統(tǒng)被假IP騙過(guò)（IP欺騙）。

很多文章都提到“無(wú)法保證獲取到的訪客IP地址100%準(zhǔn)確”，是否意味著PHP獲取訪客IP一定有漏洞可鉆呢？

只要根據(jù)實(shí)際部署情況選擇相對(duì)應(yīng)的代碼獲取訪客IP地址，是可以確保程序不被假IP欺騙的。

PHP的運(yùn)行方式

PHP支持非常多的運(yùn)行方式，例如php-cgi、php-fpm、swoole、php-cli、php-mod等。其中，php-fpm是php的fast-cgi的進(jìn)程管理器。php-mod通常配合Apache使用，而php-fpm通常配合Nginx使用。從PHP5.4開始，PHP甚至可以以內(nèi)置PHP服務(wù)（Buid-in web server）方式運(yùn)行。逐漸的，PHP形成了很多經(jīng)典搭配，例如LAMP、LNMP、LNMPA、IIS+PHP。

無(wú)論采用哪種PHP運(yùn)行方式，分清是誰(shuí)傳遞IP給PHP程序即可。這里對(duì)幾種常見環(huán)境進(jìn)行分析。

無(wú)代理層（PHP內(nèi)置服務(wù)器/swoole）

由于客戶端IP數(shù)據(jù)是從TCP/IP協(xié)議層傳遞過(guò)來(lái)的，因此在沒有中間代理（客戶端和服務(wù)器直連）的情況下，可以直接通過(guò)標(biāo)準(zhǔn)方法REMOTE_ADDR獲得與PHP直接通訊的IP地址。

例如$_SERVER['REMOTE_ADDR']或getenv("REMOTE_ADDR")。

而在swoole中，可以通過(guò)$request->server['remote_addr']獲得客戶端IP地址。

在這種情況下，REMOTE_ADDR不可以顯式的偽造，獲取到的是實(shí)際與服務(wù)器連接的IP地址，是可靠的。

Nginx代理（Nginx + php-fpm / Nginx + swoole）

常見的LNMP方案，屬于Nginx反向代理。Nginx與php的通訊，無(wú)論unix socket方式還是tcp socket方式，都跟Nginx的Header配置有關(guān)系。

proxy_http_version 1.1;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

可以在第一層nginx代理設(shè)置 proxy_set_header X-Forwarded-For $remote_addr，

其他層nginx代理設(shè)置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for

這樣就可以通過(guò)X-Forwarded-For獲取客戶端真實(shí)IP地址。

如果設(shè)置了X-Real-IP $remote_addr，則通過(guò)X-Real-IP獲取客戶端IP地址。

PHP代碼：

// php-fpm等
$_SERVER['HTTP_X_FORWARDED_FOR']);

// swoole
$this->http_input->header('x-real-ip');

總結(jié)來(lái)說(shuō)，當(dāng)有Nginx代理的情況下，需要根據(jù)具體配置來(lái)選擇獲取的Header，從而正確獲取客戶端IP地址，此時(shí)PHP中的的REMOTE_ADDR可能是最后一級(jí)代理的IP地址。

Apache代理（Apache + php_mod / Apache + php-fpm）

通常在Apache + PHP方案中，獲取IP地址取決于Apache配置信息。

絕大部分情況可以使用$_SERVER["REMOTE_ADDR"]獲取到真實(shí)客戶端IP地址。

如果Apache上級(jí)存在Nginx，那么可以在Apache中使用mod_rpaf模塊將客戶端IP地址傳遞到X-Forwarded-For頭中。

PAFheader X-Forwarded-For

負(fù)載均衡/云虛擬機(jī)/Serverless

在負(fù)載均衡條件下，需要查閱對(duì)應(yīng)負(fù)載均衡程序的文檔，來(lái)決定使用哪種方法獲取真實(shí)客戶端IP地址。

在大部分虛擬主機(jī)、負(fù)載均衡及無(wú)服務(wù)器中，可以通過(guò)HTTP_CLIENT_IP、HTTP_X_FORWARDED_FOR或X-REAL-IP其一得知客戶端IP地址。但是不建議對(duì)多種來(lái)源進(jìn)行空值判斷，這樣容易被偽造者利用，從而實(shí)現(xiàn)IP欺騙。

目前并未有標(biāo)準(zhǔn)規(guī)定將客戶端IP地址放入名為CLIENT_IP的環(huán)境變量，但是有不少老虛擬主機(jī)供應(yīng)商這樣做。新的提供商都不再使用該環(huán)境變量。網(wǎng)上大量的PHP文章中都是優(yōu)先獲取HTTP_CLIENT_IP的值，因此導(dǎo)致網(wǎng)上存在大量的服務(wù)器可以被偽造IP欺騙。

可能有該漏洞的代碼：

<?php
if(!empty($_SERVER['HTTP_CLIENT_IP'])) {
    $ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
    $ip = $_SERVER['REMOTE_ADDR'];
}

IIS + PHP

這種情況下直接使用$_SERVER['REMOTE_ADDR']方法即可。

總結(jié)

無(wú)論是哪種情況，如果用戶使用匿名代理訪問(wèn)服務(wù)器，只能獲取到代理服務(wù)器的IP地址，其IP地址仍然具有參考意義。

獲取客戶端真實(shí)IP地址，此事需要查閱相關(guān)資料根據(jù)具體情況選用某一個(gè)方法，而不是復(fù)制粘貼。

部分方法獲取到的值可能是一個(gè)數(shù)組。

不建議對(duì)獲取到的IP地址進(jìn)行正則過(guò)濾，有可能你獲取到的是一個(gè)IPv6地址。

以上就是PHP 獲取客戶端真實(shí)IP地址的詳細(xì)內(nèi)容，更多關(guān)于PHP 獲取客戶端真實(shí)IP地址的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論