php如何获得用户真实IP
你心中的完美爱情是怎么样的? 可以有不完美。### 任何从客户端获得的资料都是不可信任的
$_SERVER['HTTP_CLIENT_IP']这个头是有的,但是很少,不一定服务器都实现了。客户端可以伪造。$_SERVER['HTTP_X_FORWARDED_FOR'] 是有标准定义,用来识别经过HTTP代理后的客户端IP地址, 客户端可以伪造。$_SERVER['REMOTE_ADDR'] 是可靠的, 它是最后一个跟你的服务器握手的IP,可能是用户的代理服务器,也可能是自己的反向代理。客户端不能伪造。
获取用户真实ip
没有套CDN,用户直连我们的PHP服务器
这种情况下用tcp层握手的ip,$_SERVER['REMOTE_ADDR']
自建集群用nginx实现负载均衡的时候
这种情况下,PHP应用服务器不能对外暴露,我们在nginx中实现获取真实IP再换发给PHP服务器。
1 | location /{ |
client-real-ip 可以随意自己命名,我们将tcp层中跟nginx握手的ip转发给PHP。
使用CDN,从PHP服务器取源的时候
CDN会转发客户端的握手ip过来,各家策略有差异,具体去查CDN的文档。
当然我们也可以把需要严格核查的业务绑一个二级域名,单独走我们自己的nginx服务器,避开CDN。
宽松获取用户ip
种情况比较简单,也是大部分开源程序使用的方式,因为他们要适应最广泛的部署环境,
依次获取和过滤,$_SERVER['HTTP_CLIENT_IP'],$_SERVER['HTTP_X_FORWARDED_FOR']的第一个ip,$_SERVER['REMOTE_ADDR'],谁先有值先用谁。注意这种方式,客户端可以提交假ip来欺骗服务器。
PHP如何验证和过滤客户端提交过来的ip#
推荐使用PHP自带的过滤器,http://php.net/manual/zh/function.filter-var.php
$ip = filter_var($originIp, FILTER_VALIDATE_IP)