PHP 获取客户端真实IP地址

更新时间：2023年12月24日 15:39:08 作者：轶哥

PHP获取客户端真实IP地址,只要根据实际部署情况选择相对应的代码获取访客IP地址,是可以确保程序不被假IP欺骗的

PHP获取客户端真实IP地址，需要根据具体的服务器环境来确定使用哪种方法。目前搜索到的方法，大多是直接贴代码，没有针对不同情况作出说明，有可能导致系统被假IP骗过（IP欺骗）。

很多文章都提到“无法保证获取到的访客IP地址100%准确”，是否意味着PHP获取访客IP一定有漏洞可钻呢？

只要根据实际部署情况选择相对应的代码获取访客IP地址，是可以确保程序不被假IP欺骗的。

PHP的运行方式

PHP支持非常多的运行方式，例如php-cgi、php-fpm、swoole、php-cli、php-mod等。其中，php-fpm是php的fast-cgi的进程管理器。php-mod通常配合Apache使用，而php-fpm通常配合Nginx使用。从PHP5.4开始，PHP甚至可以以内置PHP服务（Buid-in web server）方式运行。逐渐的，PHP形成了很多经典搭配，例如LAMP、LNMP、LNMPA、IIS+PHP。

无论采用哪种PHP运行方式，分清是谁传递IP给PHP程序即可。这里对几种常见环境进行分析。

无代理层（PHP内置服务器/swoole）

由于客户端IP数据是从TCP/IP协议层传递过来的，因此在没有中间代理（客户端和服务器直连）的情况下，可以直接通过标准方法REMOTE_ADDR获得与PHP直接通讯的IP地址。

例如$_SERVER['REMOTE_ADDR']或getenv("REMOTE_ADDR")。

而在swoole中，可以通过$request->server['remote_addr']获得客户端IP地址。

在这种情况下，REMOTE_ADDR不可以显式的伪造，获取到的是实际与服务器连接的IP地址，是可靠的。

Nginx代理（Nginx + php-fpm / Nginx + swoole）

常见的LNMP方案，属于Nginx反向代理。Nginx与php的通讯，无论unix socket方式还是tcp socket方式，都跟Nginx的Header配置有关系。

proxy_http_version 1.1;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

可以在第一层nginx代理设置 proxy_set_header X-Forwarded-For $remote_addr，

其他层nginx代理设置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for

这样就可以通过X-Forwarded-For获取客户端真实IP地址。

如果设置了X-Real-IP $remote_addr，则通过X-Real-IP获取客户端IP地址。

PHP代码：

// php-fpm等
$_SERVER['HTTP_X_FORWARDED_FOR']);

// swoole
$this->http_input->header('x-real-ip');

总结来说，当有Nginx代理的情况下，需要根据具体配置来选择获取的Header，从而正确获取客户端IP地址，此时PHP中的的REMOTE_ADDR可能是最后一级代理的IP地址。

Apache代理（Apache + php_mod / Apache + php-fpm）

通常在Apache + PHP方案中，获取IP地址取决于Apache配置信息。

绝大部分情况可以使用$_SERVER["REMOTE_ADDR"]获取到真实客户端IP地址。

如果Apache上级存在Nginx，那么可以在Apache中使用mod_rpaf模块将客户端IP地址传递到X-Forwarded-For头中。

PAFheader X-Forwarded-For

负载均衡/云虚拟机/Serverless

在负载均衡条件下，需要查阅对应负载均衡程序的文档，来决定使用哪种方法获取真实客户端IP地址。

在大部分虚拟主机、负载均衡及无服务器中，可以通过HTTP_CLIENT_IP、HTTP_X_FORWARDED_FOR或X-REAL-IP其一得知客户端IP地址。但是不建议对多种来源进行空值判断，这样容易被伪造者利用，从而实现IP欺骗。

目前并未有标准规定将客户端IP地址放入名为CLIENT_IP的环境变量，但是有不少老虚拟主机供应商这样做。新的提供商都不再使用该环境变量。网上大量的PHP文章中都是优先获取HTTP_CLIENT_IP的值，因此导致网上存在大量的服务器可以被伪造IP欺骗。

可能有该漏洞的代码：

<?php
if(!empty($_SERVER['HTTP_CLIENT_IP'])) {
    $ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
    $ip = $_SERVER['REMOTE_ADDR'];
}

IIS + PHP

这种情况下直接使用$_SERVER['REMOTE_ADDR']方法即可。

总结

无论是哪种情况，如果用户使用匿名代理访问服务器，只能获取到代理服务器的IP地址，其IP地址仍然具有参考意义。

获取客户端真实IP地址，此事需要查阅相关资料根据具体情况选用某一个方法，而不是复制粘贴。

部分方法获取到的值可能是一个数组。

不建议对获取到的IP地址进行正则过滤，有可能你获取到的是一个IPv6地址。

以上就是PHP 获取客户端真实IP地址的详细内容，更多关于PHP 获取客户端真实IP地址的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

php去除数组中重复数据
去除数组中的重复数据，又叫排重，本文给出的函数和php原生array_unique的区别在于array_unique要求是字符串，而本函数可以是数组和对象
2014-11-11
laravel使用Faker数据填充的实现方法
这篇文章主要给大家介绍了关于laravel使用Faker数据填充的相关资料，文中通过示例代码介绍的非常详细，对大家学习或者使用laravel具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧
2019-04-04
Laravel框架中VerifyCsrfToken报错问题的解决
这篇文章主要给大家介绍了关于Laravel框架中VerifyCsrfToken报错问题的解决方法，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习，需要的朋友们下面跟着小编来一起学习学习吧。
2017-08-08
Yaf框架封装的MySQL数据库操作示例
这篇文章主要介绍了Yaf框架封装的MySQL数据库操作,结合实例形式分析了Yaf框架基于PDO操作MySQL数据库的相关配置、连接、增删改查、统计等相关操作技巧,需要的朋友可以参考下
2019-03-03
浅谈PHP各环境下的伪静态配置
这篇文章主要介绍了PHP各环境下的伪静态配置，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-03-03
Zend Framework框架路由机制代码分析
这篇文章主要介绍了Zend Framework框架路由机制,结合代码分析了Zend Framework路由机制所涉及的控制器,路由器原理与相关代码实现技巧,需要的朋友可以参考下
2016-03-03
浅析ThinkPHP的模板输出功能
这篇文章主要介绍了ThinkPHP的模板输出功能,需要的朋友可以参考下
2014-07-07
使用php实现从身份证中提取生日
本文给大家分享的是一则使用php实现的从身份证中提取出生日期的函数，非常的简单，有需要的小伙伴可以参考下
2016-05-05
thinkphp数据查询和遍历数组实例
这篇文章主要介绍了thinkphp数据查询和遍历数组的方法,包括数据库的DSN方法配置、CURD操作方法以及模板的遍历数组等技巧,具有一定的借鉴价值,需要的朋友可以参考下
2014-11-11
Thinkphp极验滑动验证码实现步骤解析
这篇文章主要介绍了Thinkphp极验滑动验证码实现步骤解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-11-11