脚本之家 服务器常用软件
快捷导航
您的位置:首页网络编程PHP编程php技巧 → HTTP_X_FORWARDED_FOR检验

web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验

 更新时间:2013年06月01日 12:47:13   作者:  
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR) ,我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则:“一切输入都是有害的”,因此,只要是输入我们就需要进行过滤

安全过滤后的getIP函数

复制代码 代码如下:

  function getIP() {
 $realip = ''; //设置默认值
 if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
  $realip = $_SERVER['HTTP_X_FORWARDED_FOR'];
 } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
  $realip = $_SERVER['HTTP_CLIENT_IP'];
 } else {
  $realip = $_SERVER['REMOTE_ADDR'];
 }

 preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/',$realip,$match);
 return $match?$match[0]:false;
}

以上函数,增加了IP判断,只会读取以Ip格式数据开头,并且第一个满足IP格式值。如果没有返回false。 这样就可以读取到满足格式的IP,验证了数据的IP格式。

如果我读取互联网的IP,用户传入局域网的IP,我应该直接过滤掉

我们在一些网站上面,经常可以看到提示,非法的IP地址,其实一部分是IP地址格式错误,一部分可能是读取到IP地址,不满足互联网上面允许IP格式。 以下这个函数,是通过IANA站点规范,封装了个函数。 通过输入IP地址,能够准确知道,该IP是不是可以在互联网应用。

复制代码 代码如下:

//互联网允许使用IP地址
function ipType2($ip) {
 $iplist = explode(".", $ip);

 if ($iplist[0] >= 224 && $iplist[0] <= 239)
  return '多播';
 if ($iplist[0] >= 240 && $iplist[0] <= 255)
  return '保留';

 if (preg_match('/^198\.51\.100/', $ip))
  return 'TEST-NET-2,文档和示例';
 if (preg_match('/^203\.0\.113/', $ip))
  return 'TEST-NET-3,文档和示例';

 if (preg_match('/^192\.(18|19)\./', $ip))
  return '网络基准测试';

 if (preg_match('/^192\.168/', $ip))
  return '专用网络[内部网]';

 if (preg_match('/^192\.88\.99/', $ip))
  return 'ipv6to4中继';
 if (preg_match('/^192\.0\.2\./', $ip))
  return 'TEST-NET-1,文档和示例';
 if (preg_match('/^192\.0\.0\./', $ip))
  return '保留(IANA)';
 if (preg_match('/^192\.0\.0\./', $ip))
  return '保留(IANA)';

 if ($iplist[0] == 172 && $iplist[1] <= 31 && $iplist[1] >= 16)
  return '专用网络[内部网]';

 if ($iplist[0] == 169 && $iplist[1] == 254)
  return '链路本地';
 if ($iplist[0] == 127)
  return '环回地址';
 if ($iplist[0] == 10)
  return '专用网络[内部网]';
 if ($iplist[0] == 0)
  return '本网络(仅作为源地址时合法)';

 return 'InterNet网地址';
}

当你输入IP地址,它返回是“'InterNet网地址' ,那么这个IP地址不光格式正确,而且是互联网上面合法的IP地址。 这个函数很复杂,其实就是排除很多非互联网使用IP地址。 我们常见的192,127,10开头地址估计都很熟悉了。 但实际上,很多IP地址是保留的,或者留作它用。 不能作为互联网 IP使用。 有了以上两个函数,我们不光可以读到正确格式IP地址,还能够保证读到是互联网上面IP地址。 以上是工作中常使用的函数,欢迎朋友们交流!

作者:chengmo  QQ:8292669

您可能感兴趣的文章:

相关文章

  • 浅谈PHP中foreach/in_array的使用

    浅谈PHP中foreach/in_array的使用

    本文给大家简单总结了一下PHP中foreach以及in_array的使用,包括在使用中常遇到的问题等信息,非常的实用,有需要的小伙伴可以参考下。
    2015-11-11
  • PHP实现CSV文件的导入和导出类

    PHP实现CSV文件的导入和导出类

    这篇文章主要介绍了PHP实现CSV文件的导入和导出类,实例分析了php针对csv文件的操作技巧,非常具有实用价值,需要的朋友可以参考下
    2015-03-03
  • 浅谈使用PHP开发微信支付的流程

    浅谈使用PHP开发微信支付的流程

    本文是给大家简单的介绍了下php开发微信支付的整个流程,对大家了解熟悉使用php开发微信支付非常有帮助,有需要的小伙伴可以参考下。
    2015-10-10
  • 关于Laravel Service Provider开发设置延迟加载时遇到的问题详解

    关于Laravel Service Provider开发设置延迟加载时遇到的问题详解

    这篇文章主要给大家介绍了关于Laravel Service Provider开发设置延迟加载时遇到的问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起看看吧。
    2018-01-01
  • PHP中ADODB类详解

    PHP中ADODB类详解

    1. 前言 ADODB 是 Active Data Objects Data Base 的简称,它是一种 PHP 存取数据库的函式组件。现在 SFS3 系统 (校园自由软件交流网学务系统) 计划的主持人陈莹光老师,决定采用此一组件,为了让更多有心参与该项目的伙伴们能够顺利加入发展的行列,小弟认为有必要把 ADODB 的中文入门介绍写出来,以方便伙伴们参考备查。
    2008-03-03
  • php根据生日计算年龄的方法

    php根据生日计算年龄的方法

    这篇文章主要介绍了php根据生日计算年龄的方法,涉及php操作日期与字符串的相关技巧,非常简单实用,需要的朋友可以参考下
    2015-07-07
  • php自定义二维数组排序函数array_orderby用法示例

    php自定义二维数组排序函数array_orderby用法示例

    这篇文章主要介绍了php自定义二维数组排序函数array_orderby用法,结合实例形式分析了php针对二维数组进行排序的相关遍历、判定、排序等操作技巧,需要的朋友可以参考下
    2018-03-03
  • PHP分享图片的生成方法

    PHP分享图片的生成方法

    这篇文章主要介绍了PHP分享图片的生成方法,类似淘宝宝贝分享图片功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2018-04-04
  • php数组查找函数总结

    php数组查找函数总结

    这篇文章主要介绍了php数组查找函数,总结了三个常用的数组查找函数,可用于关键词过滤,是非常实用的技巧,需要的朋友可以参考下
    2014-11-11
  • PHP获取文件扩展名的4种方法

    PHP获取文件扩展名的4种方法

    这篇文章主要介绍了PHP获取文件扩展名的4种方法,涉及PHP针对字符串与数组及上传文件属性等相关操作技巧,具有一定参考借鉴价值,需要的朋友可以参考下
    2015-11-11

最新评论