• 你真的了解 IP 吗,PHP 如何严格获取真实用户 IP?


     

    PHP 里用来获取客户端 IP 的变量有这些:

    • $_SERVER['HTTP_CLIENT_IP'] 这个头是有的,但是很少,不一定服务器都实现了。客户端可以伪造。

    • $_SERVER['HTTP_X_FORWARDED_FOR'] 是有标准定义,用来识别经过 HTTP 代理后的客户端 IP 地址,格式:clientip,proxy1,proxy2。详细解释见 http://zh.wikipedia.org/wiki/X-Forwarded-F...。 客户端可以伪造。

    • $_SERVER['REMOTE_ADDR'] 是可靠的, 它是最后一个跟你的服务器握手的 IP,可能是用户的代理服务器,也可能是自己的反向代理。客户端不能伪造。

      客户端可以伪造的参数必须过滤和验证!很多人以为 $_SERVER 变量里的东西都是可信的,其实并不不然,$_SERVER['HTTP_CLIENT_IP'] 和 $_SERVER['HTTP_X_FORWARDED_FOR'] 都来自客户端请求的 header 里面。

    如果要严格获取用户真实 ip

    在反爬虫,防刷票的时候,客户端可以伪造的东西,我们一律不信任,此为严格获取。

    1. 没有套 CDN,用户直连我们的 PHP 服务器

      这种情况下用 tcp 层握手的 ip,$_SERVER['REMOTE_ADDR']

    2. 自建集群用 nginx 实现负载均衡的时候

      这种情况下,PHP 应用服务器不能对外暴露,我们在 nginx 中实现获取真实 IP 再换发给 PHP 服务器。

      location /{
         proxy_set_header client-real-ip $remote_addr;
      }

      client-real-ip 可以随意自己命名,我们将 tcp 层中跟 nginx 握手的 ip 转发给 PHP。

    3. 使用 CDN,从 PHP 服务器取源的时候

      CDN 会转发客户端的握手 ip 过来,各家策略有差异,具体去查 CDN 的文档。

      当然我们也可以把需要严格核查的业务绑一个二级域名,单独走我们自己的 nginx 服务器,避开 CDN。

    如果要宽松获取用户 ip

    这种情况比较简单,也是大部分开源程序使用的方式,因为他们要适应最广泛的部署环境,
    依次获取和过滤,$_SERVER['HTTP_CLIENT_IP']$_SERVER['HTTP_X_FORWARDED_FOR'] 的第一个 ip,$_SERVER['REMOTE_ADDR'],谁先有值先用谁。注意这种方式,客户端可以提交假 ip 来欺骗服务器。

    PHP 如何验证和过滤客户端提交过来的 ip

    推荐使用 PHP 自带的过滤器,http://php.net/manual/zh/function.filter-v...

    $ip = filter_var($originIp, FILTER_VALIDATE_IP)

    一点小技巧

    我们存 IP 到数据库的时候可以使用 ip2long() 把 ip 地址转换成数字,搜索和排序可以更快。要显示到前端的时候再 long2ip() 转换回来

  • 相关阅读:
    一些小题
    文件操作_菜单<代码>
    文件操作
    linux基础学习
    列表,元组,字典
    系统集成项目管理工程师高频考点(第六章)
    系统集成项目管理工程师高频考点(第五章)
    系统集成项目管理工程师高频考点(第四章)
    系统集成项目管理工程师高频考点(第三章)
    信息系统项目管理师高频考点(第一章)
  • 原文地址:https://www.cnblogs.com/agang-php/p/14178560.html
Copyright © 2020-2023  润新知