• IP综合


      获取客户端IP的常用方法和注意事项:

    进阶一:常用的方法,但是不够严谨。

    function getIP() { 
        if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { 
            $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; 
        } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) { 
            $realip = $_SERVER['HTTP_CLIENT_IP']; 
        } else { 
            $realip = $_SERVER['REMOTE_ADDR']; 
        } 
        return $realip; 
    }

    IP获取来源:

    1.REMOTE_ADDR: 是远端IP,默认来自tcp 连接,是客户端的Ip。可以说,它是最准确的得到直接连服务器客户端IP。如果对方通过代理服务器上网,就发现,获取到的是代理服务器IP了。

    如:a->b(proxy)->c  ,如果a 通过’REMOTE_ADDR’ ,只能获取到b的IP,获取不到c的IP了。

    另外:该IP想篡改将很难实现,在传递直到生成php server值,都是直接生成的。

    2.HTTP_X_FORWARDED_FOR,HTTP_CLIENT_IP : 为了能在大型网络中,获取到最原始用户IP,或者代理IP地址。对HTTp协议进行扩展。定义了实体头。HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2  所有IP用”,”分割。 HTTP_CLIENT_IP 在高级匿名代理中,这个代表了代理服务器IP。既然是http协议扩展一个实体头,并且这个值对于传入端是信任的,信任传入方按照规则格式输入的。以下以x_forword_for例子加以说明,正常情况下,这个值变化过程。

    响应:修改服务器端PHP文件header("X-Forwarded-For:1.1.1.1");

     

    修改了X-Forwarded-For的值后:

      上图结果说明:x-forwarded-for不光可以自己设置值,而且可以设置任意格式值。 这样一来,好比就直接有一个可以写入任意值的字段。并且服务器直接读取,或者写入数据库,或者做显示。它将带来危险性,跟一般对入输入没有做任何过滤检测,之间操作数据源结果一样。 并且容易带来隐蔽性。

    请求:用X-Forwarded-For-Header工具修改X-Forwarded-For字段后。

    总结:
      上面getip函数,除了客户端可以任意伪造IP,并且可以传入任意格式IP。 这样结果会带来2大问题,其一,如果你设置某个页面,做IP限制。 对方可以容易修改IP不断请求该页面。 其二,这类数据你如果直接使用,将带来SQL注册,跨站攻击等漏洞。至于其一,可以在业务上面做限制,最好不采用IP限制。 对于其二,这类可以带来巨大网络风险。我们必须加以纠正。需要对getip 进行修改,得到安全的getip函数。这类问题,其实很容易出现,以前我就利用这个骗取了大量伪装投票。有它的隐蔽性,其实只要我们搞清楚了,某些值来龙去脉的话。理解了它的原理,修复该类bug将是非常容易。

    进阶二:对获得的IP进行过滤,避免隐患出现。

    function getIP() {
        $realip = ''; //设置默认值
        if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
            $realip = $_SERVER['HTTP_X_FORWARDED_FOR'];
        } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
            $realip = $_SERVER['HTTP_CLIENT_IP'];
        } else {
            $realip = $_SERVER['REMOTE_ADDR'];
        }
        preg_match('/^((?:d{1,3}.){3}d{1,3})/',$realip,$match);
        return $match?$match[0]:false;
    }

    进阶三:以下这个函数,是通过IANA站点规范,封装了个函数。 通过输入IP地址,能够准确知道,该IP是不是可以在互联网应用。

    //互联网允许使用IP地址
    function ipType2($ip) {
        $iplist = explode(".", $ip);
    
        if ($iplist[0] >= 224 && $iplist[0] <= 239)
            return '多播';
        if ($iplist[0] >= 240 && $iplist[0] <= 255)
            return '保留';
    
        if (preg_match('/^198.51.100/', $ip))
            return 'TEST-NET-2,文档和示例';
        if (preg_match('/^203.0.113/', $ip))
            return 'TEST-NET-3,文档和示例';
    
        if (preg_match('/^192.(18|19)./', $ip))
            return '网络基准测试';
    
        if (preg_match('/^192.168/', $ip))
            return '专用网络[内部网]';
    
        if (preg_match('/^192.88.99/', $ip))
            return 'ipv6to4中继';
        if (preg_match('/^192.0.2./', $ip))
            return 'TEST-NET-1,文档和示例';
        if (preg_match('/^192.0.0./', $ip))
            return '保留(IANA)';
        if (preg_match('/^192.0.0./', $ip))
            return '保留(IANA)';
    
        if ($iplist[0] == 172 && $iplist[1] <= 31 && $iplist[1] >= 16)
            return '专用网络[内部网]';
    
        if ($iplist[0] == 169 && $iplist[1] == 254)
            return '链路本地';
        if ($iplist[0] == 127)
            return '环回地址';
        if ($iplist[0] == 10)
            return '专用网络[内部网]';
        if ($iplist[0] == 0)
            return '本网络(仅作为源地址时合法)';
    
        return 'InterNet网地址';
    }

      当你输入IP地址,它返回是“’InterNet网地址’ ,那么这个IP地址不光格式正确,而且是互联网上面合法的IP地址。 这个函数很复杂,其实就是排除很多非互联网使用IP地址。 我们常见的192,127,10开头地址估计都很熟悉了。 但实际上,很多IP地址是保留的,或者留作它用。 不能作为互联网 IP使用。 有了以上两个函数,我们不光可以读到正确格式IP地址,还能够保证读到是互联网上面IP地址。

  • 相关阅读:
    python模板引擎Cheetah的安装
    cocos2d 动作
    【leetcode】合并两个有序数组
    【leetcode】合并二叉树
    【leetcode】合并两个有序链表
    【leetcode】链表的中间结点
    【leetcode】使用最小花费爬楼梯
    【leetcode】栈的最小值
    【leetcode】最小绝对差
    【leetcode】玩筹码
  • 原文地址:https://www.cnblogs.com/thinksasa/p/3517174.html
Copyright © 2020-2023  润新知