php如何获取客户端ip_php获取客户端ip可靠方法【ip】

$_SERVER[‘REMOTE_ADDR’] 能直接用,但仅适用于无代理、CDN或负载均衡的纯直连场景;在生产环境中它通常返回反向代理、CDN或LB的内网IP,而非真实用户IP。

php如何获取客户端ip_php获取客户端ip可靠方法【ip】

$_SERVER[‘REMOTE_ADDR’] 能不能直接用?

能,但只适用于没有代理、CDN 或负载均衡的纯直连场景。它返回的是与 PHP 服务器建立 TCP 连接的**最后一跳 IP**,在绝大多数生产环境里,这个值是反向代理(如 Nginx)、CDN 节点或 LB 的内网地址,比如 127.0.0.110.0.1.5,完全不是真实用户 IP。

常见错误现象:
本地开发时 $_SERVER['REMOTE_ADDR'] 看起来正常,一上云/上 CDN 就变成内网 IP;或者所有请求都显示同一个 IP(比如所有流量都经过统一入口 Nginx)。

  • 必须配合可信代理白名单使用,否则 X-Forwarded-For 可被客户端伪造
  • Nginx 默认不透传 X-Forwarded-For,需显式配置 proxy_set_header X-Forwarded-For $remote_addr; 或更安全的 $proxy_add_x_forwarded_for;
  • 如果用了多层代理(如 CDN → LB → Nginx → PHP),X-Forwarded-For 是逗号分隔的字符串,最左边才是用户原始 IP(但前提是每层都正确追加且不可信头被过滤)

如何安全提取 X-Forwarded-For 中的真实 IP?

不能无条件取 $_SERVER['HTTP_X_FORWARDED_FOR'] 的第一个值。关键在于:你得知道哪些代理是“可信的”,然后从右往左数,跳过所有可信代理的 IP,第一个不可信的才是用户真实 IP —— 但实际中更常用且安全的做法是:只信任你控制的最外层代理(比如你的 Nginx),并让它把真实 IP 写入一个自定义头(如 X-Real-IP),PHP 只读这个头。

如果你必须处理 X-Forwarded-For,且已明确可信代理列表(例如你的 CDN 回源 IP 段、LB 内网段),可用如下逻辑:

立即学习PHP免费学习笔记(深入)”;

function getRealIp(): ?string
{
    $trustedProxies = ['127.0.0.1', '10.0.0.0/8', '172.16.0.0/12', '192.168.0.0/16'];
    $ip = $_SERVER['REMOTE_ADDR'] ?? '';

if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
    // 从右往左找第一个不在可信列表里的 IP
    for ($i = count($ips) - 1; $i >= 0; $i--) {
        if (!isInTrustedList($ips[$i], $trustedProxies)) {
            return $ips[$i];
        }
    }
}

return isIpTrusted($ip, $trustedProxies) ? null : $ip;


}


function isInTrustedList(string $ip, array $list): bool

{

foreach ($list as $item) {

if (strpos($item, '/') !== false) {

[$net, $mask] = explode('/', $item);

if ((ip2long($ip) & ~((1 


注意:isInTrustedList() 是简化版 CIDR 判断,生产环境建议用 symfony/http-foundationIpUtils::checkIp() 或类似成熟工具





								Android配合WebService访问远程数据库 中文WORD版



									Android配合WebService访问远程数据库 中文WORD版


采用HttpClient向服务器端action请求数据,当然调用服务器端方法获取数据并不止这一种。WebService也可以为我们提供所需数据,那么什么是webService呢?,它是一种基于SAOP协议的远程调用标准,通过webservice可以将不同操作系统平台,不同语言,不同技术整合到一起。 实现Android与服务器端数据交互,我们在PC机器java客户端中,需要一些库,比如XFire,Axis2,CXF等等来支持访问WebService,但是这些库并不适合我们资源有限的android手机客户端,




								下载 
							





为什么推荐优先用 X-Real-IP + Nginx 配置?


因为它是可控、单值、不可伪造(只要 Nginx 不被绕过)的方案。你在 Nginx 的 server 或 location 块里加一行,PHP 就能直接信任这个头:


location / {
    proxy_set_header X-Real-IP $remote_addr;
    proxy_pass http://php_backend;
}


对应 PHP 代码就极简:


$ip = $_SERVER['HTTP_X_REAL_IP'] ?? $_SERVER['REMOTE_ADDR'] ?? '0.0.0.0';


这个方案规避了 X-Forwarded-For 解析的全部复杂性,也避免了因多层代理顺序混乱导致取错 IP 的风险。前提是:你必须确保没有外部请求能绕过 Nginx 直连 PHP-FPM(比如没关掉 9000 端口暴露)。


    

  • 
X-Real-IP 不是标准头,但已是事实标准,Nginx / Apache / Caddy 都支持自由设置
    • 

  • 不要同时依赖 X-Real-IPX-Forwarded-For 做 fallback,那反而会引入新的攻击面
    • 

  • 若用 Cloudflare,应配合 CF-Connecting-IP 头,并将其加入可信头列表(且只在 Cloudflare 全站代理开启时才有效)
    • 



getenv() 和 apache/_get/_remote/_addr() 为什么不用?


getenv('REMOTE_ADDR') 行为和 $_SERVER['REMOTE_ADDR'] 一致,没区别;而 apache_get_remote_addr() 是 Apache 模块专属函数,不仅不跨 Web 服务器(Nginx 下直接报错),还可能返回代理 IP(取决于 Apache 配置),且已被标记为“不推荐使用”。


更隐蔽的问题是:某些 SaaS 平台(如部分 PHP 托管服务、Serverless 环境)会重写 $_SERVER 数组,甚至屏蔽部分字段。此时连 $_SERVER['REMOTE_ADDR'] 都可能不准,必须查平台文档确认其提供的真实 IP 字段名(比如阿里云函数计算用 $_SERVER['HTTP_X_FORWARDED_FOR'],而 Vercel 用 $_SERVER['HTTP_X_VERCEL_FORWARDED_FOR'])。


真正可靠的起点永远是:弄清你的流量路径(用户 → CDN → LB → Web Server → PHP),再逐层确认哪一层负责注入、哪一层负责校验、哪些 IP 段可信任 —— 没有通用一行代码解法。


https://www.php.cn/faq/1986270.html

发表回复

Your email address will not be published. Required fields are marked *