PHP 获取正确的客户端ip地址

https://www.cnblogs.com/rendd/p/6183094.html

一、如果没有使用代理服务器，

　　REMOTE_ADDR = 客户端IP HTTP_X_FORWARDED_FOR = 没数值或不显示

　　$ip = $_SERVER['REMOTE_ADDR'];

二、使用透明代理，

　　REMOTE_ADDR = 最后一个代理服务器 IP
　　HTTP_X_FORWARDED_FOR = 客户端真实 IP （经过多个代理服务器时，这个值类似：221.5.252.160， 203.98.182.163， 203.129.72.215）

　　这类代理还会将客户真实ip发送到请求对象，无法隐藏真实ip。

　　$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];

三、使用普通匿名代理服务器，

　　REMOTE_ADDR = 最后一个代理服务器 IP
　　HTTP_X_FORWARDED_FOR = 代理服务器 IP （经过多个代理服务器时，这个值类似：203.98.182.163， 203.98.182.163， 203.129.72.215）

　　这样就隐藏了客户端的真实ip，但服务器会知道客户端是通过代理服务器去访问的。

四、使用欺骗性代理服务器，

　　REMOTE_ADDR = 代理服务器 IP
　　HTTP_X_FORWARDED_FOR = 随机的 IP（经过多个代理服务器时，这个值类似：220.4.251.159， 203.98.182.163， 203.129.72.215）

　　服务器可以识别到时通过代理服务器访问的，但发送给目标服务器的是虚假ip。

五、使用高匿名代理，

　　REMOTE_ADDR = 代理服务器 IP HTTP_X_FORWARDED_FOR = 没数值或不显示

　　使用这种代理时，不同浏览器不同设备会返回不同的ip头信息，因此PHP使用$_SERVER["REMOTE_ADDR"] 、$_SERVER["HTTP_X_FORWARDED_FOR"] 获取的值可能是空值也可能是“unknown”值。

PHP获取ip代码如下：

public function ip() {
    //strcasecmp 比较两个字符，不区分大小写。返回0，>0，<0。
    if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
        $ip = getenv('HTTP_CLIENT_IP');
    } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
        $ip = getenv('HTTP_X_FORWARDED_FOR');
    } elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
        $ip = getenv('REMOTE_ADDR');
    } elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    $res =  preg_match ( '/[\d\.]{7,15}/', $ip, $matches ) ? $matches [0] : '';
    echo $res;
    //dump(phpinfo());//所有PHP配置信息
}

’REMOTE_ADDR’ ，’HTTP_X_FORWARDED_FOR’，’HTTP_CLIENT_IP’之间的区别？

1.’REMOTE_ADDR’ 是远端IP，默认来自tcp 连接是，客户端的Ip。可以说，它最准确，确定是，只会得到直接连服务器客户端IP。如果对方通过代理服务器上网，就发现。获取到的是代理服务器IP了。
如：a->b(proxy)->c ,如果c 通过’REMOTE_ADDR’ ，只能获取到b的IP,获取不到a的IP了。

2.’HTTP_X_FORWARDED_FOR’，’HTTP_CLIENT_IP’ 为了能在大型网络中，获取到最原始用户IP，或者代理IP地址。对HTTp协议进行扩展。定义了实体头。

HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2 所有IP用”,”分割。 HTTP_CLIENT_IP 在高级匿名代理中，这个代表了代理服务器IP。既然是http协议扩展一个实体头，并且这个值对于传入端是信任的，信任传入方按照规则格式输入的。以下以x_forword_for例子加以说明，正常情况下，这个值变化过程。

风险点所在：
这些变量，来自http请求的：x-forword-for字段，以及client-ip字段。正常代理服务器，当然会按rfc规范来传入这些值。但是，当一个用户直接构造该x-forword-for值，发送给用户，这样就好比就直接有一个可以写入任意值的字段。并且服务器直接读取，或者写入数据库，或者做显示。它将带来危险性，跟一般对入输入没有做任何过滤检测，之间操作数据源结果一样。

对于上面getip函数：
除了客户端可以任意伪造IP，并且可以传入任意格式IP。这样结果会带来2大问题，其一，如果你设置某个页面，做IP限制。对方可以容易修改IP不断请求该页面。其二，这类数据你如果直接使用，将带来SQL注册，跨站攻击等漏洞。至于其一，可以在业务上面做限制，最好不采用IP限制。对于其二，这类可以带来巨大网络风险。我们必须加以纠正。