站長(zhǎng)資訊網(wǎng)PHP 里用來獲取客戶端 IP 的變量有這些:
$_SERVER['HTTP_CLIENT_IP'] 這個(gè)頭是有的,但是很少,不一定服務(wù)器都實(shí)現(xiàn)了。客戶端可以偽造。(推薦學(xué)習(xí):PHP編程從入門到精通)
$_SERVER['HTTP_X_FORWARDED_FOR'] 是有標(biāo)準(zhǔn)定義,用來識(shí)別經(jīng)過 HTTP 代理后的客戶端 IP 地址,格式:clientip,proxy1,proxy2。詳細(xì)解釋見 http://zh.wikipedia.org/wiki/X-Forwarded-F…。 客戶端可以偽造。
$_SERVER['REMOTE_ADDR'] 是可靠的, 它是最后一個(gè)跟你的服務(wù)器握手的 IP,可能是用戶的代理服務(wù)器,也可能是自己的反向代理。客戶端不能偽造。
客戶端可以偽造的參數(shù)必須過濾和驗(yàn)證!很多人以為 $_SERVER 變量里的東西都是可信的,其實(shí)并不不然,$_SERVER['HTTP_CLIENT_IP'] 和 $_SERVER['HTTP_X_FORWARDED_FOR'] 都來自客戶端請(qǐng)求的 header 里面。
如果要嚴(yán)格獲取用戶真實(shí) ip
在反爬蟲,防刷票的時(shí)候,客戶端可以偽造的東西,我們一律不信任,此為嚴(yán)格獲取。
沒有套 CDN,用戶直連我們的 PHP 服務(wù)器
這種情況下用 tcp 層握手的 ip,$_SERVER['REMOTE_ADDR']
自建集群用 nginx 實(shí)現(xiàn)負(fù)載均衡的時(shí)候
這種情況下,PHP 應(yīng)用服務(wù)器不能對(duì)外暴露,我們?cè)?nginx 中實(shí)現(xiàn)獲取真實(shí) IP 再換發(fā)給 PHP 服務(wù)器。
location /{ proxy_set_header client-real-ip $remote_addr; }
client-real-ip 可以隨意自己命名,我們將 tcp 層中跟 nginx 握手的 ip 轉(zhuǎn)發(fā)給 PHP。
使用 CDN,從 PHP 服務(wù)器取源的時(shí)候
CDN 會(huì)轉(zhuǎn)發(fā)客戶端的握手 ip 過來,各家策略有差異,具體去查 CDN 的文檔。
當(dāng)然我們也可以把需要嚴(yán)格核查的業(yè)務(wù)綁一個(gè)二級(jí)域名,單獨(dú)走我們自己的 nginx 服務(wù)器,避開 CDN。
