Я знаю, что есть множество $ _SERVER для получения IP-адреса доступно заголовков переменных . Мне было интересно, существует ли общее согласие относительно того, как наиболее точно получить реальный IP-адрес пользователя (хорошо зная, что ни один метод не идеален), используя указанные переменные?
Я потратил некоторое время, пытаясь найти глубокое решение, и придумал следующий код, основанный на нескольких источниках. Я был бы рад, если бы кто-нибудь мог просочиться в ответе или пролить свет на что-то более точное.
редактирование включает в себя оптимизации от @Alix
/**
* Retrieves the best guess of the client's actual IP address.
* Takes into account numerous HTTP proxy headers due to variations
* in how different ISPs handle IP addresses in headers between hops.
*/
public function get_ip_address() {
// Check for shared internet/ISP IP
if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
return $_SERVER['HTTP_CLIENT_IP'];
// Check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
// Check if multiple IP addresses exist in var
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip) {
if ($this->validate_ip($ip))
return $ip;
}
}
}
if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
return $_SERVER['HTTP_X_FORWARDED'];
if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
return $_SERVER['HTTP_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
return $_SERVER['HTTP_FORWARDED'];
// Return unreliable IP address since all else failed
return $_SERVER['REMOTE_ADDR'];
}
/**
* Ensures an IP address is both a valid IP address and does not fall within
* a private network range.
*
* @access public
* @param string $ip
*/
public function validate_ip($ip) {
if (filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_IPV4 |
FILTER_FLAG_IPV6 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE) === false)
return false;
self::$ip = $ip;
return true;
}
Слова предупреждения (обновление)
REMOTE_ADDR
по-прежнему представляет собой наиболее надежный источник IP-адреса. Другие $_SERVER
переменные, упомянутые здесь, могут быть легко подделаны удаленным клиентом. Цель этого решения - попытаться определить IP-адрес клиента, сидящего за прокси-сервером. В общих целях вы можете рассмотреть возможность использования этого в сочетании с IP-адресом, возвращенным непосредственно из$_SERVER['REMOTE_ADDR']
и хранением обоих.
Для 99,9% пользователей это решение идеально подойдет вашим потребностям. Это не защитит вас от 0,1% злонамеренных пользователей, которые хотят злоупотреблять вашей системой, вводя свои собственные заголовки запросов. Если вы полагаетесь на IP-адреса для чего-то критически важного, прибегайте к REMOTE_ADDR
услугам тех, кто стоит за прокси-сервером.