$ _SERVERが大量にあることを知っていますIPアドレスの取得に利用できる変数ヘッダーがます。上記の変数を使用してユーザーの実際のIPアドレスを最も正確に取得する方法(方法が完璧でないことをよく理解している)について、一般的なコンセンサスがあるかどうか疑問に思いましたか?
私は時間をかけて詳細なソリューションを見つけようとして、いくつかのソースに基づいて次のコードを考え出しました。誰かが答えに穴を開けたり、より正確なものに光を当てたりできたら、私はそれを気に入っています。
編集には@Alixからの最適化が含まれます
/**
* Retrieves the best guess of the client's actual IP address.
* Takes into account numerous HTTP proxy headers due to variations
* in how different ISPs handle IP addresses in headers between hops.
*/
public function get_ip_address() {
// Check for shared internet/ISP IP
if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
return $_SERVER['HTTP_CLIENT_IP'];
// Check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
// Check if multiple IP addresses exist in var
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip) {
if ($this->validate_ip($ip))
return $ip;
}
}
}
if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
return $_SERVER['HTTP_X_FORWARDED'];
if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
return $_SERVER['HTTP_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
return $_SERVER['HTTP_FORWARDED'];
// Return unreliable IP address since all else failed
return $_SERVER['REMOTE_ADDR'];
}
/**
* Ensures an IP address is both a valid IP address and does not fall within
* a private network range.
*
* @access public
* @param string $ip
*/
public function validate_ip($ip) {
if (filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_IPV4 |
FILTER_FLAG_IPV6 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE) === false)
return false;
self::$ip = $ip;
return true;
}
警告の言葉(更新)
REMOTE_ADDR
それでも、IPアドレスの最も信頼できるソースを表します。ここで説明する他の$_SERVER
変数は、リモートクライアントによって非常に簡単に偽装される可能性があります。このソリューションの目的は、プロキシの背後にあるクライアントのIPアドレスを特定することです。一般的な目的のために、これを、$_SERVER['REMOTE_ADDR']
両方から直接返されて格納されるIPアドレスと組み合わせて使用することを検討できます。
99.9%のユーザーにとって、このソリューションはお客様のニーズに完全に適合します。独自のリクエストヘッダーを挿入してシステムを悪用しようとする悪意のあるユーザーの0.1%から保護することはできません。ミッションクリティカルなものをIPアドレスに依存している場合はREMOTE_ADDR
、プロキシの背後にいる人にケータリングすることを頼りにしないでください。