class RemoteAddress
{
/**
* Whether to use proxy addresses or not.
*
* As default this setting is disabled - IP address is mostly needed to increase
* security. HTTP_* are not reliable since can easily be spoofed. It can be enabled
* just for more flexibility, but if user uses proxy to connect to trusted services
* it's his/her own risk, only reliable field for IP address is $_SERVER['REMOTE_ADDR'].
*
* @var bool
*/
protected $useProxy = false;
/**
* List of trusted proxy IP addresses
*
* @var array
*/
protected $trustedProxies = array();
/**
* HTTP header to introspect for proxies
*
* @var string
*/
protected $proxyHeader = 'HTTP_X_FORWARDED_FOR';
// [...]
/**
* Returns client IP address.
*
* @return string IP address.
*/
public function getIpAddress()
{
$ip = $this->getIpAddressFromProxy();
if ($ip) {
return $ip;
}
// direct IP address
if (isset($_SERVER['REMOTE_ADDR'])) {
return $_SERVER['REMOTE_ADDR'];
}
return '';
}
/**
* Attempt to get the IP address for a proxied client
*
* @see http://tools.ietf.org/html/draft-ietf-appsawg-http-forwarded-10#section-5.2
* @return false|string
*/
protected function getIpAddressFromProxy()
{
if (!$this->useProxy
|| (isset($_SERVER['REMOTE_ADDR']) && !in_array($_SERVER['REMOTE_ADDR'], $this->trustedProxies))
) {
return false;
}
$header = $this->proxyHeader;
if (!isset($_SERVER[$header]) || empty($_SERVER[$header])) {
return false;
}
// Extract IPs
$ips = explode(',', $_SERVER[$header]);
// trim, so we can compare against trusted proxies properly
$ips = array_map('trim', $ips);
// remove trusted proxy IPs
$ips = array_diff($ips, $this->trustedProxies);
// Any left?
if (empty($ips)) {
return false;
}
// Since we've removed any known, trusted proxy servers, the right-most
// address represents the first IP we do not know about -- i.e., we do
// not know if it is a proxy server, or a client. As such, we treat it
// as the originating IP.
// @see http://en.wikipedia.org/wiki/X-Forwarded-For
$ip = array_pop($ips);
return $ip;
}
// [...]
}
function getClientIP() {
if (isset($_SERVER)) {
if (isset($_SERVER["HTTP_X_FORWARDED_FOR"]))
return $_SERVER["HTTP_X_FORWARDED_FOR"];
if (isset($_SERVER["HTTP_CLIENT_IP"]))
return $_SERVER["HTTP_CLIENT_IP"];
return $_SERVER["REMOTE_ADDR"];
}
if (getenv('HTTP_X_FORWARDED_FOR'))
return getenv('HTTP_X_FORWARDED_FOR');
if (getenv('HTTP_CLIENT_IP'))
return getenv('HTTP_CLIENT_IP');
return getenv('REMOTE_ADDR');
}
48
无论您做什么,请确保不要信任从客户端发送的数据 . $_SERVER['REMOTE_ADDR'] 包含连接方的真实IP地址 . 这是您可以找到的最可靠的 Value .
$ip = filter_input(INPUT_SERVER, 'HTTP_CLIENT_IP', FILTER_VALIDATE_IP)
?: filter_input(INPUT_SERVER, 'HTTP_X_FORWARDED_FOR', FILTER_VALIDATE_IP)
?: $_SERVER['REMOTE_ADDR']
?? '0.0.0.0'; // or other value fits "not defined" in your logic
function get_ip_address() {
// check for shared internet/ISP IP
if (!empty($_SERVER['HTTP_CLIENT_IP']) && validate_ip($_SERVER['HTTP_CLIENT_IP'])) {
return $_SERVER['HTTP_CLIENT_IP'];
}
// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
// check if multiple ips exist in var
if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false) {
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip) {
if (validate_ip($ip))
return $ip;
}
} else {
if (validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
return $_SERVER['HTTP_X_FORWARDED_FOR'];
}
}
if (!empty($_SERVER['HTTP_X_FORWARDED']) && validate_ip($_SERVER['HTTP_X_FORWARDED']))
return $_SERVER['HTTP_X_FORWARDED'];
if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
return $_SERVER['HTTP_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_FORWARDED']) && validate_ip($_SERVER['HTTP_FORWARDED']))
return $_SERVER['HTTP_FORWARDED'];
// return unreliable ip since all else failed
return $_SERVER['REMOTE_ADDR'];
}
/**
* Ensures an ip address is both a valid IP and does not fall within
* a private network range.
*/
function validate_ip($ip) {
if (strtolower($ip) === 'unknown')
return false;
// generate ipv4 network address
$ip = ip2long($ip);
// if the ip is set and not equivalent to 255.255.255.255
if ($ip !== false && $ip !== -1) {
// make sure to get unsigned long representation of ip
// due to discrepancies between 32 and 64 bit OSes and
// signed numbers (ints default to signed in PHP)
$ip = sprintf('%u', $ip);
// do private network range checking
if ($ip >= 0 && $ip <= 50331647) return false;
if ($ip >= 167772160 && $ip <= 184549375) return false;
if ($ip >= 2130706432 && $ip <= 2147483647) return false;
if ($ip >= 2851995648 && $ip <= 2852061183) return false;
if ($ip >= 2886729728 && $ip <= 2887778303) return false;
if ($ip >= 3221225984 && $ip <= 3221226239) return false;
if ($ip >= 3232235520 && $ip <= 3232301055) return false;
if ($ip >= 4294967040) return false;
}
return true;
}
function valid_ip($ip) {
// for list of reserved IP addresses, see https://en.wikipedia.org/wiki/Reserved_IP_addresses
return $ip && substr($ip, 0, 4) != '127.' && substr($ip, 0, 4) != '127.' && substr($ip, 0, 3) != '10.' && substr($ip, 0, 2) != '0.' ? $ip : false;
}
function get_client_ip() {
// using explode to get only client ip from list of forwarders. see https://en.wikipedia.org/wiki/X-Forwarded-For
return
@$_SERVER['HTTP_X_FORWARDED_FOR'] ? explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'], 2)[0] :
@$_SERVER['HTTP_CLIENT_IP'] ? explode(',', $_SERVER['HTTP_CLIENT_IP'], 2)[0] :
valid_ip(@$_SERVER['REMOTE_ADDR']) ?:
'UNKNOWN';
}
echo get_client_ip();
2
$ip = "";
if (!empty($_SERVER["HTTP_CLIENT_IP"]))
{
//check for ip from share internet
$ip = $_SERVER["HTTP_CLIENT_IP"];
}
elseif (!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))
{
// Check for the Proxy User
$ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
}
else
{
$ip = $_SERVER["REMOTE_ADDR"];
}
echo $ip;
23 回答
像那样????
PS
所有以'HTTP_'或'X-'开头的 Headers 可能分别是用户定义的欺骗 . 如果你想跟踪使用cooies等
获取客户端IP地址的单行版本如下:
笔记:
通过使用
@,它会禁止PHP通知 .HTTP_X_FORWARDED_FOR中的值可能包含以逗号分隔的多个地址,因此如果您希望获得第一个地址,则可以使用以下方法:例:
它应该包含在
$_SERVER['REMOTE_ADDR']变量中 .我最喜欢的解决方案是Zend Framework 2使用的方式 . 它还考虑了
$_SERVER属性HTTP_X_FORWARDED_FOR,HTTP_CLIENT_IP,REMOTE_ADDR但它声明了一个类来设置一些受信任的代理,它返回一个IP地址而不是一个数组 . 我认为这是最接近它的解决方案:请在此处查看完整代码:https://raw.githubusercontent.com/zendframework/zend-http/master/src/PhpEnvironment/RemoteAddress.php
互联网背后有不同类型的用户,因此我们希望从不同的魔药中捕获IP地址 . 那是,
1. $_SERVER['REMOTE_ADDR'] - 包含客户端的真实IP地址 . 这是您可以从用户那里找到的最可靠的值 .
2. $_SERVER['REMOTE_HOST'] - 这将获取用户正在查看当前页面的主机名 . 但是要使此脚本起作用,必须配置httpd.conf中的Hostname Lookups On .
3. $_SERVER['HTTP_CLIENT_IP'] - 当用户来自共享Internet服务时,这将获取IP地址 .
4. $_SERVER['HTTP_X_FORWARDED_FOR'] - 当他在代理后面时,这将从用户获取IP地址
因此,我们可以使用以下组合功能来获取在不同位置查看的用户的真实IP地址,
http://php.net/manual/en/reserved.variables.server.php
答案是使用$_SERVER变量 . 例如,
$_SERVER["REMOTE_ADDR"]将返回客户端的IP地址 .我喜欢这个codesnippet:
无论您做什么,请确保不要信任从客户端发送的数据 .
$_SERVER['REMOTE_ADDR']包含连接方的真实IP地址 . 这是您可以找到的最可靠的 Value .但是,它们可能位于代理服务器后面,在这种情况下代理可能已设置
$_SERVER['HTTP_X_FORWARDED_FOR'],但此值很容易被欺骗 . 例如,它可以由没有代理的人设置,或者IP可以是来自代理后面的LAN的内部IP .这意味着如果要保存
$_SERVER['HTTP_X_FORWARDED_FOR'],请确保同时保存$_SERVER['REMOTE_ADDR']值 . 例如 . 将两个值保存在数据库的不同字段中 .如果要将IP作为字符串保存到数据库,请确保至少有 45 characters 的空间 . IPv6将保留,并且这些地址大于旧的IPv4地址 .
(请注意,IPv6通常最多使用39个字符,但也有一个特殊的IPv6 notation for IPv4 addresses,其完整形式最多可包含45个字符 . 因此,如果您知道自己在做什么,则可以使用39个字符,但如果您只想设置忘记它,使用45) .
这是我使用的方法,它验证了IPv4输入:
用于获取IP的安全和警告感知代码段:
好吧,这可以通过使用名为
$_SERVER的GLOBAL变量来完成 .$_SERVER是一个具有属性名称REMOTE_ADDR的数组 .只需像这样分配
$userIp = $_SERVER['REMOTE_ADDR'];或直接使用它
echo $_SERVER['REMOTE_ADDR'];或echo ($_SERVER['REMOTE_ADDR']);这是我发现的最先进的方法,过去已经尝试了其他方法 . 有效以确保获取访问者的IP地址(但请注意,任何黑客都可以轻松伪造IP地址) .
来源:http://blackbe.lt/advanced-method-to-obtain-the-client-ip-in-php/
正如所有其他人所说,您可以使用
$_SERVER['REMOTE_ADDR'];获取客户端IP地址 .此外,如果您需要有关用户的更多信息,可以使用以下命令:
客户端更具体的信息在$ clientDetails中 .
您可以通过以下方式获取存储在$ clientDetails变量中的json项:$ clientDetails-> PostalCode / hostname / region / loc ...
我正在使用ipinfo.io获取额外信息 .
我希望它有所帮助 .
$_SERVER['REMOTE_ADDR']实际上可能不包含真实的客户端IP地址,因为它将为您提供通过代理连接的客户端的代理地址 . 这可能是你真正想要的,取决于你对IP的做法 . 有人说,试图查看您的流量源自何处,或者记住用户上次连接的IP,代理或NAT网关的公共IP可能更适合存储 .有几个HTTP标头,如
X-Forwarded-For,可能会或可能不会由各种代理设置 . 问题是那些只是HTTP标头,任何人都可以设置 . 他们的内容无法保证 .$_SERVER['REMOTE_ADDR']是Web服务器从中接收连接的实际物理IP地址以及响应将发送到的实际物理IP地址 . 其他任何事情都只是随意和自愿的信息 . 只有一种情况可以信任此信息:您正在控制设置此标头的代理 . 只有当你知道100%在哪里以及如何设置 Headers 时才意味着你应该注意它的重要性 .话虽如此,这里有一些示例代码:
Editor's note: 使用上面的代码有 security implications . 客户端可以将所有HTTP头信息(即
$_SERVER['HTTP_...)设置为它想要的任意值 . 因此,使用$_SERVER['REMOTE_ADDR']更加可靠,因为用户无法设置 .来自:http://roshanbh.com.np/2007/12/getting-real-ip-address-in-php.html
以下函数确定所有可能性并以逗号分隔(ip,ip等)返回值 .
它还具有可选的验证功能(默认情况下禁用的第一个参数)以验证IP地址(私有范围和保留范围) .
此功能紧凑,您可以在任何地方使用它 . 但是!
别忘了这个!在这种类型的功能或代码块不保证记录用户真实IP,因为一些用户可以使用代理或其他安全网关是隐形或无法跟踪
Php功能:
用法:
$IP = GetIP();或直接GetIP();试试这个
这是获取用户ip的好方法的清洁代码示例 .
这是一个使用elvis运算符的较短版本
这是一个使用isset删除通知的版本(谢谢,@ shasi kanth)
这是一个简单的一个班轮
编辑:
上面的代码可能会返回reserved addresses(如10.0.0.1),所有代理服务器的list of addresses等 . 要处理这些情况,请使用以下代码: