HTTP中ip地址僞造的問題以及解決辦法

在真實環境下，php獲取客戶端ip地址的方法一般有如下幾種:

                    (1):經過$_SERVER[ "HTTP_CLIENT_IP" ]

                    (2):經過$_SERVER[ "HTTP_X_FORWARDED_FOR" ]

                    (3):經過$_SERVER[ "REMOTE_ADDR" ]

這裏須要注意的是:在php中的$_SERVER數組中以HTTP開頭的值，都是由客戶端(client)傳遞到服務端的，也就是說這一部分是能夠進行僞造的。而$_SERVER[ "REMOTE_ADDR" ]是由服務器傳遞的，是不能進行僞造的(若是這一部分均可以僞造，那就服務器沒有辦法傳遞數據到正確的客戶端上了)

php經過curl函數進行HTTP_CLIENT_IP以及HTTP_X_FORWARDED_FOR進行僞造:

curl_setopt( $ch , CURLOPT_HTTPHEADER , array('X-FORWARDED-FOR:'.$ip, 'CLIENT-IP:'.$ips ) );

其中的 $_SERVER[ "HTTP_X_FORWARDED_FOR" ] 一開始我壓根不知道這是什麼，後來查了一下，總結一下:X-Forwarded-For 是一個 HTTP 擴展頭部。HTTP/1.1（RFC 2616）協議並無對它的定義，它最開始是由 Squid 這個緩存代理軟件引入，用來表示 HTTP 請求端真實 IP。它的基本格式以下:X-Forwarded-For: client, proxy1, proxy2 (存在反向代理以及負載均衡時會用到，這個也是能夠僞造的)

在不存在反向代理或負載均衡的狀況下，服務端經過$_SERVER[ "REMOTE_ADDR" ]就能夠獲取真實的客戶端ip地址

在存在反向代理或負載均衡的狀況下，服務端經過$_SERVER[ "REMOTE_ADDR" ]獲取到的並非客戶端的ip地址，而是反向代理服務器或者分發服務器的ip地址(詳情看下圖)

服務端獲取的remote_addr實際上是由傳遞數據到php解析器的服務器傳遞的，傳遞時鏈接服務器的ip地址，上圖http文件服務器所獲取的remote_addr就是nginx服務器的ip地址

如何在存在反向代理以及負載均衡的狀況下獲取客戶端的真實的ip地址那?解決辦法以下:

在上圖的nginx服務器(代理服務器中)進行HTTP_X_FORWARD_FOR參數的配置，配置以下:

location ~ "\.+\.php$" {

     fastcgi_pass localhost:9000;

     fastcgi_param  HTTP_X_FORWARD_FOR  $remote_addr;

} -----nginx向php-fpm傳遞的HTTP_X_FORWARD_FOR參數是nginx獲取的真實的客戶端ip,那麼在php腳本中直接獲取$_SERVER[ "HTTP_X_FORWARD_FOR" ]就能夠獲取真實的客戶端ip地址了