php獲取客戶端IP

php獲取客戶端IP

首先先閱讀關於IP真實性安全的文章：如何正確的取得使用者 IP？

「任何從客戶端取得的資料都是不可信任的！」

1. HTTP_CLIENT_IP頭是有的，但未成標準，不必定服務器都實現。

   HTTP_CLIENT_IP頭都是能夠僞造的，因此就會形成獲取IP不是真實IP，但並不意味着它們一無可取，生產環境中不少服務器隱藏在負載均衡節點後面，通常負載均衡節點會把前端實際的IP地址經過HTTP_CLIENT_IP，經過HTTP_CLIENT_IP只能獲取的負載均衡節點的IP地址。

2. HTTP_X_FORWARDED_FOR 是有標準定義，用來識別通過HTTP代理後的客戶端IP地址，格式：clientip,proxy1,proxy2。http://zh.wikipedia.org/wiki/X-Forwarded-For

   **HTTP_***頭都很容易僞造。

3. REMOTE_ADDR 是可靠的， 它是最後一個跟你的服務器握手的IP，多是用戶的代理服務器，也多是本身的反向代理。

因此儘可能記錄相關信息進行判斷:

/**
 * todo:獲取客戶端ip
 * @return array
 */
public static function GetIp(): array
{
    // 保存可靠IP爲基準，其餘IP保留備份
    $arr = array('ip'=>$_SERVER['REMOTE_ADDR']);
    $AllIP = array();
    $_SERVER['HTTP_CLIENT_IP'] = '0.0.0.0';
    foreach (array(
                 'HTTP_CLIENT_IP',
                 'HTTP_X_FORWARDED_FOR',
                 'HTTP_X_FORWARDED',
                 'HTTP_X_CLUSTER_CLIENT_IP',
                 'HTTP_FORWARDED_FOR',
                 'HTTP_FORWARDED',
                 'REMOTE_ADDR') as $key) {
        if (array_key_exists($key, $_SERVER)) {
            foreach (explode(',', $_SERVER[$key]) as $ip) {
                $ip = trim($ip);
                // filter_var PHP 原生過濾方法
                // filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)
                // FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP （好比 192.168.0.1）
                // FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 範圍內。該標誌接受 IPV4 和 IPV6 值。
                if (filter_var($ip, FILTER_VALIDATE_IP)) {
                    $AllIP[$key] = $ip;
                }
            }
        }
    }
    $arr['AllIP'] = $AllIP;
    return $arr;
}