$_SERVER['REMOTE_ADDR']
IP-адрес, на который пришло TCP-соединение. Хотя технически возможно двунаправленное подделывание IP-адресов в Интернете (путем объявления нечестных маршрутов через BGP), такие атаки, вероятно, будут обнаружены и недоступны для типичного злоумышленника - в основном ваш злоумышленник должен иметь контроль над провайдером или оператором связи. На данный момент не существует возможных однонаправленных атак спуфинга на TCP. Однако двунаправленная подмена IP-адреса в локальной сети - тривиальная задача.
Также имейте в виду, что это может быть не IPv4, а IPv6-адрес. В этом отношении ваша текущая проверка хороша, но если вы проверите, что она 1.2.3.4
происходит только где-нибудь внутри $_SERVER['REMOTE_ADDR']
, злоумышленник может просто подключиться 2001:1234:5678::1.2.3.4
.
В целом, для любых других приложений, кроме критических (банковские / военные / потенциальный ущерб> 50 000 евро), вы можете использовать удаленный IP-адрес, если вы можете исключить злоумышленников в своей локальной сети.