PHP如何严格获取真实用户IP？

最近遇到个这个问题&＃xff0c;短信被盗刷&＃xff0c;然后查原因&＃xff0c;发现一直被一个ip给不停的调用短信接口&＃xff0c;无可奈何&＃xff0c;谁让这个ip是我服务器的ip啊&＃xff0c;后来想想也许是伪造的ip地址&＃xff01;那咱就获取真是ip做判断。 php来获取客户端ip的变量有这些&＃xff1a;

》 $_SERVER[&＃39;HTTP_CLIENT_IP&＃39;] // 这个头饰有的&＃xff0c;但是很少&＃xff0c;有些服务器实现不了。而且客户端可以伪造&＃xff0c;我自己测试的时候就没有获取ip。
》 $_SERVER[&＃39;HTTP_X_FORWARDED_FOR&＃39;] //用来识别经过HTTP代理后的客户端ip地址&＃xff0c;格式&＃xff1a;
clientip&＃xff0c;proxy1&＃xff0c;proxy2.客户端可以伪造。详情&＃xff1a;http://zh.wikipedia.org/wiki/X-Forwarded-For。
》 $_SERVER[&＃39;REMOTE_ADDR&＃39;]
//是最可靠的&＃xff0c;它是最后一个跟你的服务器握手的IP&＃xff0c;
//也可能是用户的代理服务器&＃xff0c;也可能是自己的反向代理。客户端不能伪造。
//&＃xff08;都扯到反向代理了。哈哈哈&＃xff09;


客户端可以伪造的参数必须过滤和验证&＃xff01; 很多人以为的$_SERVER变量里的东西都是可信的&＃xff0c;其实并不然&＃xff0c;$_SERVER[&＃39;HTTP_CLIENT_IP&＃39;] 和$_SERVER[&＃39;HTTP_X_FORWARDED_FOR&＃39;]都是来自客户端请求的header里面。 如何要严格获取用户真是IP 没有套CDN&＃xff0c;用户直连我们的PHP服务器

这种情况下用tcp层握手的ip&＃xff0c;$_SERVER[&＃39;REMOTE_ADDR&＃39;]

自建集群用nginx实现负载均衡的时候

这种情况下&＃xff0c;PHP应用服务器不能对外暴露&＃xff0c;我们在nginx中实现获取真实IP再换发给PHP服务器。

location /{ proxy_set_header client-real-ip $remote_addr; } client-real-ip 可以随意自己命名&＃xff0c;我们将tcp层中跟nginx握手的ip转发给PHP。

使用CDN&＃xff0c;从PHP服务器取源的时候

CDN会转发客户端的握手ip过来&＃xff0c;各家策略有差异&＃xff0c;具体去查CDN的文档。

当然我们也可以把需要严格核查的业务绑一个二级域名&＃xff0c;单独走我们自己的nginx服务器&＃xff0c;避开CDN。

如果要宽松获取用户ip

这种情况比较简单&＃xff0c;也是大部分开源程序使用的方式&＃xff0c;因为他们要适应最广泛的部署环境&＃xff0c; 依次获取和过滤&＃xff0c;$_SERVER[&＃39;HTTP_CLIENT_IP&＃39;]&＃xff0c;$_SERVER[&＃39;HTTP_X_FORWARDED_FOR&＃39;]的第一个ip&＃xff0c;$_SERVER[&＃39;REMOTE_ADDR&＃39;]&＃xff0c;谁先有值先用谁。注意这种方式&＃xff0c;客户端可以提交假ip来欺骗服务器。

PHP如何验证和过滤客户端提交过来的ip。 博客链接&＃xff1a;https://blog.haitun.me/get-real-client-ip/