首页

在PHP中检索用户正确IP地址的最准确方法是什么?

php ip-address
2022-08-30 06:03:23

我知道有太多的$_SERVER变量头可用于IP地址检索。我想知道对于如何使用所述变量最准确地检索用户的真实IP地址(明知没有一种方法是完美的)是否有普遍的共识?

我花了一些时间试图找到一个深入的解决方案,并根据许多来源提出了以下代码。如果有人能在答案中戳出漏洞,或者对可能更准确的东西进行一些阐述,我会很高兴。

编辑包括来自@Alix的优化

 /**
  * Retrieves the best guess of the client's actual IP address.
  * Takes into account numerous HTTP proxy headers due to variations
  * in how different ISPs handle IP addresses in headers between hops.
  */
 public function get_ip_address() {
  // Check for shared internet/ISP IP
  if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
   return $_SERVER['HTTP_CLIENT_IP'];

  // Check for IPs passing through proxies
  if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
   // Check if multiple IP addresses exist in var
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    foreach ($iplist as $ip) {
     if ($this->validate_ip($ip))
      return $ip;
    }
   }
  }
  if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
   return $_SERVER['HTTP_X_FORWARDED'];
  if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
   return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
  if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
   return $_SERVER['HTTP_FORWARDED_FOR'];
  if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
   return $_SERVER['HTTP_FORWARDED'];

  // Return unreliable IP address since all else failed
  return $_SERVER['REMOTE_ADDR'];
 }

 /**
  * Ensures an IP address is both a valid IP address and does not fall within
  * a private network range.
  *
  * @access public
  * @param string $ip
  */
 public function validate_ip($ip) {
     if (filter_var($ip, FILTER_VALIDATE_IP, 
                         FILTER_FLAG_IPV4 | 
                         FILTER_FLAG_IPV6 |
                         FILTER_FLAG_NO_PRIV_RANGE | 
                         FILTER_FLAG_NO_RES_RANGE) === false)
         return false;
     self::$ip = $ip;
     return true;
 }

警告词(更新)

REMOTE_ADDR仍表示 IP 地址的最可靠来源。这里提到的其他变量可以很容易地被远程客户端欺骗。此解决方案的目的是尝试确定位于代理后面的客户端的 IP 地址。出于一般目的,您可以考虑将其与直接从中返回的 IP 地址结合使用并存储两者。$_SERVER$_SERVER['REMOTE_ADDR']

对于99.9%的用户来说,这个解决方案将完全满足您的需求。它不会保护您免受0.1%的恶意用户通过注入自己的请求标头来滥用您的系统。如果依靠IP地址进行关键任务,请诉诸并且不要费心迎合代理背后的人。REMOTE_ADDR


答案 1

以下是获取IP地址的更短,更简洁的方法:

function get_ip_address(){
    foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key){
        if (array_key_exists($key, $_SERVER) === true){
            foreach (explode(',', $_SERVER[$key]) as $ip){
                $ip = trim($ip); // just to be safe

                if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false){
                    return $ip;
                }
            }
        }
    }
}

您的代码似乎已经非常完整,我看不到其中任何可能的错误(除了通常的IP警告),我会将函数更改为依赖于过滤器扩展:validate_ip()

public function validate_ip($ip)
{
    if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) === false)
    {
        return false;
    }

    self::$ip = sprintf('%u', ip2long($ip)); // you seem to want this

    return true;
}

此外,您的代码段也可以从以下位置简化:HTTP_X_FORWARDED_FOR

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    // check if multiple ips exist in var
    if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false)
    {
        $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        
        foreach ($iplist as $ip)
        {
            if ($this->validate_ip($ip))
                return $ip;
        }
    }
    
    else
    {
        if ($this->validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
            return $_SERVER['HTTP_X_FORWARDED_FOR'];
    }
}

对此:

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        
    foreach ($iplist as $ip)
    {
        if ($this->validate_ip($ip))
            return $ip;
    }
}

您可能还需要验证 IPv6 地址。


答案 2

然而,即使这样,获取用户的真实IP地址也是不可靠的。他们需要做的就是使用匿名代理服务器(一个不支持 、 等标头的服务器),而您得到的只是其代理服务器的 IP 地址。http_x_forwarded_forhttp_forwarded

然后,您可以查看是否存在匿名的代理服务器IP地址列表,但是无法确保其也是100%准确的,并且最多只能让您知道它是代理服务器。如果有人很聪明,他们可以欺骗HTTP转发的标头。

假设我不喜欢当地的大学。我弄清楚他们注册了哪些IP地址,并通过做坏事在您的网站上禁止他们的IP地址,因为我发现您尊重HTTP转发。这个清单是无穷无尽的。

然后,正如您所猜测的那样,存在内部IP地址,例如我之前提到的大学网络。很多人使用10.x.x.x格式。因此,您所知道的只是它被转发为共享网络。

然后我就不多说了,但动态IP地址不再是宽带的方式。所以。即使您获得用户IP地址,预计它也会在2-3个月内更改,最长。


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »