如何在 PHP 中获取客户端 IP 地址
Posted
技术标签:
【中文标题】如何在 PHP 中获取客户端 IP 地址【英文标题】:How to get the client IP address in PHP 【发布时间】:2011-03-01 11:54:07 【问题描述】:如何使用 php 获取客户端 IP 地址?
我想记录通过他/她的 IP 地址登录我网站的用户。
【问题讨论】:
请参阅 RFC6302 以了解有关记录内容的建议,特别是现在要记住记录端口而不仅仅是地址。 对于那些跟踪用户的提醒,在全球的几个地区,ISPS 正在使用 CGNAT,这使得信任单纯的 IP 地址变得更加复杂 function getUserIpAddr() if(!empty($_SERVER['HTTP_CLIENT_IP'])) $ip = $_SERVER['HTTP_CLIENT_IP']; elseif(!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; else $ip = $_SERVER['REMOTE_ADDR']; 返回 $ip; 你应该使用Abstract IP detection。价值在于它会让您知道 IP 是否位于代理或 *** 后面,我认为这很重要。他们有一个 PHP sn-p,您可以从中复制您的请求。 【参考方案1】:在 PHP 中,获取公共 IP 的最后一个选项应该始终是 $_SERVER["REMOTE_ADDR"],因为太多的安全原因。
这是获取客户端经过验证的 IP 地址的解决方法。
public static function getPublicIP() : string
$realIP = "Invalid IP Address";
$activeHeaders = [];
$headers = [
"HTTP_CLIENT_IP",
"HTTP_PRAGMA",
"HTTP_XONNECTION",
"HTTP_CACHE_INFO",
"HTTP_XPROXY",
"HTTP_PROXY",
"HTTP_PROXY_CONNECTION",
"HTTP_VIA",
"HTTP_X_COMING_FROM",
"HTTP_COMING_FROM",
"HTTP_X_FORWARDED_FOR",
"HTTP_X_FORWARDED",
"HTTP_X_CLUSTER_CLIENT_IP",
"HTTP_FORWARDED_FOR",
"HTTP_FORWARDED",
"ZHTTP_CACHE_CONTROL",
"REMOTE_ADDR" #this should be the last option
];
#Find active headers
foreach ($headers as $key)
if (array_key_exists($key, $_SERVER))
$activeHeaders[$key] = $_SERVER[$key];
#Reemove remote address since we got more options to choose from
if(count($activeHeaders) > 1)
unset($activeHeaders["REMOTE_ADDR"]);
#Pick a random item now that we have a secure way.
$realIP = $activeHeaders[array_rand($activeHeaders)];
#Validate the public IP
if (filter_var($realIP, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4))
return $realIP;
return $realIP;
正如您在此处看到的,$_SERVER["REMOTE_ADDR"] 是我们对 IP 的最后一个选项。收到 IP 后,我们还会验证 IP 以确保质量和安全性。
【讨论】:
【参考方案2】:这里是获取用户 IP 地址的好方法的更简洁的代码示例。
$ip = $_SERVER['HTTP_CLIENT_IP']
? $_SERVER['HTTP_CLIENT_IP']
: ($_SERVER['HTTP_X_FORWARDED_FOR']
? $_SERVER['HTTP_X_FORWARDED_FOR']
: $_SERVER['REMOTE_ADDR']);
这是一个使用 elvis 运算符的较短版本:
$_SERVER['HTTP_CLIENT_IP']
? : ($_SERVER['HTTP_X_FORWARDED_FOR']
? : $_SERVER['REMOTE_ADDR']);
这是一个使用 isset 删除通知的版本(谢谢你,@shasi kanth):
$ip = isset($_SERVER['HTTP_CLIENT_IP'])
? $_SERVER['HTTP_CLIENT_IP']
: isset($_SERVER['HTTP_X_FORWARDED_FOR'])
? $_SERVER['HTTP_X_FORWARDED_FOR']
: $_SERVER['REMOTE_ADDR'];
【讨论】:
永远记得清理任何可能被用户修改的输入。这是其中之一。 我认为代码中缺少一些表达式并且优先级顺序颠倒了,所以应该是这样的:$ip = $_SERVER['HTTP_CLIENT_IP']?$_SERVER['HTTP_CLIENT_IP']:($_SERVER['HTTP_X_FORWARDED_FOR']?$_SERVER['HTTP_X_FORWARDED_FOR']:$_SERVER['REMOTE_ADDR']); 不过,很好。
好收获。我已经调整了帖子。谢谢!
刚刚添加 isset() 来删除通知:$ip = isset($_SERVER['HTTP_CLIENT_IP'])?$_SERVER['HTTP_CLIENT_IP']:isset($_SERVER['HTTP_X_FORWARDE D_FOR'])?$_SERVER['HTTP_X_FORWARDED_FOR']:$_SERVER['REMOTE_ADDR'];
正如有人指出的那样,所有三个示例都充满了隐藏字符(U+200C 和 U+200B)。不要将它们粘贴到您的 php 脚本中,否则您将收到 PARSE ERRORS。如果您想查看所有隐藏字符,请将这些行粘贴到此处:soscisurvey.de/tools/view-chars.php。请清理该代码!【参考方案3】:
获取客户端IP地址,请使用getenv("REMOTE_ADDR")。
例如,
$ip_address = getenv("REMOTE_ADDR");
echo $ip_address;
如果您使用 localhost 调用您的服务器,它将打印出::1。
因此,请使用直接服务器 IP 地址或域来调用您的服务器。
【讨论】:
【参考方案4】:$_SERVER['REMOTE_ADDR'] 实际上可能不包含真实的客户端 IP 地址,因为它会为您提供一个代理地址,用于通过代理连接的客户端,例如。那可能
不过,这取决于您对 IP 的处理方式,这就是您真正想要的。如果您说某人的私有 RFC1918 地址可能对您没有任何好处,试图查看您的流量来自哪里,或者记住用户上次连接的 IP,代理或 NAT 网关的公共 IP 可能更多适合存放。
有几个 HTTP 标头,例如 X-Forwarded-For,它们可能由各种代理设置,也可能不设置。问题是这些只是任何人都可以设置的 HTTP 标头。他们的内容无法保证。 $_SERVER['REMOTE_ADDR'] 是 Web 服务器从其接收连接并将响应发送到的实际物理 IP 地址。其他任何信息都只是任意和自愿的信息。只有一种情况可以信任此信息:您正在控制设置此标头的代理。这意味着只有当您 100% 了解标头的设置位置和方式时,您才应该注意任何重要的事情。
话虽如此,下面是一些示例代码:
if (!empty($_SERVER['HTTP_CLIENT_IP']))
$ip = $_SERVER['HTTP_CLIENT_IP'];
elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
else
$ip = $_SERVER['REMOTE_ADDR'];
编者注:使用上述代码有安全隐患。客户端可以将所有 HTTP 标头信息(即$_SERVER['HTTP_...)设置为它想要的任意值。因此,使用$_SERVER['REMOTE_ADDR'] 更可靠,因为用户无法设置。
来自:http://roshanbh.com.np/2007/12/getting-real-ip-address-in-php.html
【讨论】:
除非您确切知道它的作用,否则不要使用上面的代码!我已经看到了由于这个原因造成的大量安全漏洞。客户端可以将X-Forwarded-For 或Client-IP 标头设置为它想要的任意值。除非您有受信任的反向代理,否则您不应使用任何这些值。
关于 Janoszen 的评论,一种选择是 PHP 的 filter_var($_SERVER['REMOTE_ADDR'], FILTER_VALIDATE_IP)。
X-Forwarded-For 可能包含多个 IP 地址,以逗号分隔;并且应该真正被“解析”而不是从表面上看(AFAIK,它几乎从不包含单个 IP)。
@lostphilosopher 这是一个合理的做法,它会使其更可靠,但不幸的是它仍然允许欺骗。
对于规模扩大的站点,Web 应用程序服务器前会有负载平衡器和/或反向代理。您必须配置这些负载平衡器或代理以删除任何外部 X-Forwarded-For 标头,而是插入他们自己的连接客户端的 IP 地址。【参考方案5】:
<?php
/**
* Function to get the client ip address
*
* @return string The Ip address
*/
function getIp(): string
if (! empty($_SERVER['HTTP_CLIENT_IP']))
return $_SERVER['HTTP_CLIENT_IP'];
if (! empty($_SERVER['HTTP_X_FORWARDED_FOR']))
return $_SERVER['HTTP_X_FORWARDED_FOR'];
return $_SERVER['REMOTE_ADDR'] ?? '?';
更小
/**
* Function to get the client ip address
*
* @return string The Ip address
*/
function getIp(): string
return $_SERVER['HTTP_CLIENT_IP'] ?? $_SERVER['HTTP_X_FORWARDED_FOR'] ?? $_SERVER['REMOTE_ADDR'] ?? '';
【讨论】:
【参考方案6】:快速解决方案(无错误)
function getClientIP():string
$keys=array('HTTP_CLIENT_IP','HTTP_X_FORWARDED_FOR','HTTP_X_FORWARDED','HTTP_FORWARDED_FOR','HTTP_FORWARDED','REMOTE_ADDR');
foreach($keys as $k)
if (!empty($_SERVER[$k]) && filter_var($_SERVER[$k], FILTER_VALIDATE_IP))
return $_SERVER[$k];
return "UNKNOWN";
【讨论】:
警告,黑客很容易通过发送虚假的X-FORWARDED-FOR: fakeip HTTP headers来欺骗ip
当然可以,但是如果你使用 nginx,clientIP 通常在“HTTP_X_FORWARDED_FOR”上
这可能不像你期望的那样工作: 1. 这里的所有标题都允许使用逗号和/或分号,所以你必须对字符串进行标记(即@987654323 @); 2.HTTP_X_FORWARDED不存在; 3. 此处使用HTTP_FORWARDED(标准化)将始终无法通过filter_var 测试,因为它使用自己的语法(即for=1.1.1.1;by=1.1.1.0)。【参考方案7】:
这里有一段代码应该通过检查各种来源来选择一个有效的 IP。
首先,它会检查“REMOTE_ADDR”是否是公共 IP(而不是您信任的反向代理之一),然后遍历其中一个 HTTP 标头,直到找到公共 IP 并返回它。 (PHP 5.2+)
只要反向代理是可信的或者服务器与客户端直连,应该是可靠的。
//Get client's IP or null if nothing looks valid
function ip_get($allow_private = false)
//Place your trusted proxy server IPs here.
$proxy_ip = ['127.0.0.1'];
//The header to look for (Make sure to pick the one that your trusted reverse proxy is sending or else you can get spoofed)
$header = 'HTTP_X_FORWARDED_FOR'; //HTTP_CLIENT_IP, HTTP_X_FORWARDED, HTTP_FORWARDED_FOR, HTTP_FORWARDED
//If 'REMOTE_ADDR' seems to be a valid client IP, use it.
if(ip_check($_SERVER['REMOTE_ADDR'], $allow_private, $proxy_ip)) return $_SERVER['REMOTE_ADDR'];
if(isset($_SERVER[$header]))
//Split comma separated values [1] in the header and traverse the proxy chain backwards.
//[1] https://en.wikipedia.org/wiki/X-Forwarded-For#Format
$chain = array_reverse(preg_split('/\s*,\s*/', $_SERVER[$header]));
foreach($chain as $ip) if(ip_check($ip, $allow_private, $proxy_ip)) return $ip;
return null;
//Check for valid IP. If 'allow_private' flag is set to truthy, it allows private IP ranges as valid client IP as well. (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
//Pass your trusted reverse proxy IPs as $proxy_ip to exclude them from being valid.
function ip_check($ip, $allow_private = false, $proxy_ip = [])
if(!is_string($ip) || is_array($proxy_ip) && in_array($ip, $proxy_ip)) return false;
$filter_flag = FILTER_FLAG_NO_RES_RANGE;
if(!$allow_private)
//Disallow loopback IP range which doesn't get filtered via 'FILTER_FLAG_NO_PRIV_RANGE' [1]
//[1] https://www.php.net/manual/en/filter.filters.validate.php
if(preg_match('/^127\.$/', $ip)) return false;
$filter_flag |= FILTER_FLAG_NO_PRIV_RANGE;
return filter_var($ip, FILTER_VALIDATE_IP, $filter_flag) !== false;
【讨论】:
我不明白为什么有人会浪费这么多时间编写无用的 cmets 而不是让他们的代码可读。【参考方案8】:其中之一:
$ip = $_SERVER['REMOTE_ADDR'];
$ip = $_SERVER['HTTP_CLIENT_IP'];
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
$ip = $_SERVER['HTTP_X_FORWARDED'];
$ip = $_SERVER['HTTP_FORWARDED_FOR'];
$ip = $_SERVER['HTTP_FORWARDED'];
【讨论】:
关于服务器变量的文档:php.net/manual/en/reserved.variables.server.php【参考方案9】:function get_client_ip()
foreach (array(
'HTTP_CLIENT_IP',
'HTTP_X_FORWARDED_FOR',
'HTTP_X_FORWARDED',
'HTTP_X_CLUSTER_CLIENT_IP',
'HTTP_FORWARDED_FOR',
'HTTP_FORWARDED',
'REMOTE_ADDR') as $key)
if (array_key_exists($key, $_SERVER))
foreach (explode(',', $_SERVER[$key]) as $ip)
$ip = trim($ip);
if ((bool) filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_IPV4 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE))
return $ip;
return null;
或压缩版:
function get_ip()
foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key)
if (array_key_exists($key, $_SERVER) === true)
foreach (array_map('trim', explode(',', $_SERVER[$key])) as $ip)
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false)
return $ip;
【讨论】:
【参考方案10】:就在这一点上,我很惊讶它还没有被提及,是获取那些位于 CloudFlare 基础设施后面的站点的正确 IP 地址。它会破坏您的 IP 地址,并赋予它们相同的值。 幸运的是,他们也有一些可用的服务器标头。 与其重写已经写好的东西,不如看看这里以获得更简洁的答案,是的,我很久以前也经历过这个过程。 https://***.com/a/14985633/1190051
【讨论】:
【参考方案11】:以下是我找到的***的方法,过去我已经尝试过其他一些方法。确保获取访问者的IP地址是有效的(但请注意,任何黑客都可以轻易伪造IP地址)。
function get_ip_address()
// Check for shared Internet/ISP IP
if (!empty($_SERVER['HTTP_CLIENT_IP']) && validate_ip($_SERVER['HTTP_CLIENT_IP']))
return $_SERVER['HTTP_CLIENT_IP'];
// Check for IP addresses passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
// Check if multiple IP addresses exist in var
if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false)
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip)
if (validate_ip($ip))
return $ip;
else
if (validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
return $_SERVER['HTTP_X_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_X_FORWARDED']) && validate_ip($_SERVER['HTTP_X_FORWARDED']))
return $_SERVER['HTTP_X_FORWARDED'];
if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
return $_SERVER['HTTP_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_FORWARDED']) && validate_ip($_SERVER['HTTP_FORWARDED']))
return $_SERVER['HTTP_FORWARDED'];
// Return unreliable IP address since all else failed
return $_SERVER['REMOTE_ADDR'];
/**
* Ensures an IP address is both a valid IP address and does not fall within
* a private network range.
*/
function validate_ip($ip)
if (strtolower($ip) === 'unknown')
return false;
// Generate IPv4 network address
$ip = ip2long($ip);
// If the IP address is set and not equivalent to 255.255.255.255
if ($ip !== false && $ip !== -1)
// Make sure to get unsigned long representation of IP address
// due to discrepancies between 32 and 64 bit OSes and
// signed numbers (ints default to signed in PHP)
$ip = sprintf('%u', $ip);
// Do private network range checking
if ($ip >= 0 && $ip <= 50331647)
return false;
if ($ip >= 167772160 && $ip <= 184549375)
return false;
if ($ip >= 2130706432 && $ip <= 2147483647)
return false;
if ($ip >= 2851995648 && $ip <= 2852061183)
return false;
if ($ip >= 2886729728 && $ip <= 2887778303)
return false;
if ($ip >= 3221225984 && $ip <= 3221226239)
return false;
if ($ip >= 3232235520 && $ip <= 3232301055)
return false;
if ($ip >= 4294967040)
return false;
return true;
【讨论】:
这是错误的。 HTTP_CLIENT_IP 比 REMOTE_ADDR 更不可靠,ip验证功能是废话。 @tobltobs 。你这么说很有趣,但这是在重定向页面加载时在清漆框后面真正为我工作的唯一功能集。我竖起大拇指。 链接(实际上)已损坏。 链接已删除,页面似乎消失了。谢谢 2019年获取ip是不是最好的办法?【参考方案12】:我最喜欢的解决方案是 Zend Framework 2 使用的方式。它还考虑了$_SERVER 属性HTTP_X_FORWARDED_FOR、HTTP_CLIENT_IP、REMOTE_ADDR,但它声明了一个类来设置一些受信任的代理,它返回一个IP 地址而不是数组。我认为这是最接近它的解决方案:
class RemoteAddress
/**
* Whether to use proxy addresses or not.
*
* As default this setting is disabled - IP address is mostly needed to increase
* security. HTTP_* are not reliable since can easily be spoofed. It can be enabled
* just for more flexibility, but if user uses proxy to connect to trusted services
* it's his/her own risk, only reliable field for IP address is $_SERVER['REMOTE_ADDR'].
*
* @var bool
*/
protected $useProxy = false;
/**
* List of trusted proxy IP addresses
*
* @var array
*/
protected $trustedProxies = array();
/**
* HTTP header to introspect for proxies
*
* @var string
*/
protected $proxyHeader = 'HTTP_X_FORWARDED_FOR';
// [...]
/**
* Returns client IP address.
*
* @return string IP address.
*/
public function getIpAddress()
$ip = $this->getIpAddressFromProxy();
if ($ip)
return $ip;
// direct IP address
if (isset($_SERVER['REMOTE_ADDR']))
return $_SERVER['REMOTE_ADDR'];
return '';
/**
* Attempt to get the IP address for a proxied client
*
* @see http://tools.ietf.org/html/draft-ietf-appsawg-http-forwarded-10#section-5.2
* @return false|string
*/
protected function getIpAddressFromProxy()
if (!$this->useProxy
|| (isset($_SERVER['REMOTE_ADDR']) && !in_array($_SERVER['REMOTE_ADDR'], $this->trustedProxies))
)
return false;
$header = $this->proxyHeader;
if (!isset($_SERVER[$header]) || empty($_SERVER[$header]))
return false;
// Extract IPs
$ips = explode(',', $_SERVER[$header]);
// trim, so we can compare against trusted proxies properly
$ips = array_map('trim', $ips);
// remove trusted proxy IPs
$ips = array_diff($ips, $this->trustedProxies);
// Any left?
if (empty($ips))
return false;
// Since we've removed any known, trusted proxy servers, the right-most
// address represents the first IP we do not know about -- i.e., we do
// not know if it is a proxy server, or a client. As such, we treat it
// as the originating IP.
// @see http://en.wikipedia.org/wiki/X-Forwarded-For
$ip = array_pop($ips);
return $ip;
// [...]
在此处查看完整代码: https://raw.githubusercontent.com/zendframework/zend-http/master/src/PhpEnvironment/RemoteAddress.php
【讨论】:
很好的答案!使用在如此大的框架中开发和使用的生产测试代码是您可以做的最好的事情之一:) 所以等待 zend 没有过滤任何东西?我应该看到类似的内容: filter_var( $_SERVER['REMOTE_ADDR'], FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 ); @Hanoncs 你为什么要这样做?欺骗远程地址非常困难 @Hanoncs 我认为您必须在使用此类后检查该值。它不是它的逻辑的一部分。它只是按原样从$_SERVER 变量中获取值,并跳过一些已定义且众所周知的代理服务器。就这样。如果您认为返回值不安全,请检查它或向 PHP 开发人员报告错误。
@algorhythm 如何确定众所周知的代理服务器是什么?【参考方案13】:
喜欢下面的?
if (($ip=filter_input(INPUT_SERVER, 'REMOTE_ADDR', validate_ip)) === false or empty($ip))
exit;
echo $ip;
PS
if (($ip=filter_input(INPUT_SERVER, 'REMOTE_ADDR', FILTER_VALIDATE_IP|FILTER_FLAG_NO_PRIV_RANGE|FILTER_FLAG_NO_RES_RANGE)) === false)
header('HTTP/1.0 400 Bad Request');
exit;
所有以“HTTP_”或“X-”开头的标头都可能被欺骗,分别是用户定义的。如果您想跟踪,请使用 cookie 等。
【讨论】:
【参考方案14】:这个函数应该可以正常工作
function Get_User_Ip()
$IP = false;
if (getenv('HTTP_CLIENT_IP'))
$IP = getenv('HTTP_CLIENT_IP');
else if(getenv('HTTP_X_FORWARDED_FOR'))
$IP = getenv('HTTP_X_FORWARDED_FOR');
else if(getenv('HTTP_X_FORWARDED'))
$IP = getenv('HTTP_X_FORWARDED');
else if(getenv('HTTP_FORWARDED_FOR'))
$IP = getenv('HTTP_FORWARDED_FOR');
else if(getenv('HTTP_FORWARDED'))
$IP = getenv('HTTP_FORWARDED');
else if(getenv('REMOTE_ADDR'))
$IP = getenv('REMOTE_ADDR');
//If HTTP_X_FORWARDED_FOR == server ip
if((($IP) && ($IP == getenv('SERVER_ADDR')) && (getenv('REMOTE_ADDR')) || (!filter_var($IP, FILTER_VALIDATE_IP))))
$IP = getenv('REMOTE_ADDR');
if($IP)
if(!filter_var($IP, FILTER_VALIDATE_IP))
$IP = false;
else
$IP = false;
return $IP;
【讨论】:
【参考方案15】:试试这个:
$_SERVER['REMOTE_ADDR'];
【讨论】:
这已经提到过几次了,你的回答实际上并没有什么用处。 '您的回答实际上并没有增加任何有用的东西' - 不确定您的意思,它回答了所提出的问题。怎么没用? 因为他正在回答 5 岁的问题,并且已经回答了很多相同且更好的答案。 @gyanendra-prasad-panigrahi 尝试在您的答案中包含有用的链接,例如函数文档。【参考方案16】:$ip = "";
if (!empty($_SERVER["HTTP_CLIENT_IP"]))
// Check for IP address from shared Internet
$ip = $_SERVER["HTTP_CLIENT_IP"];
elseif (!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))
// Check for the proxy user
$ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else
$ip = $_SERVER["REMOTE_ADDR"];
echo $ip;
【讨论】:
第一个sn -p如何返回客户端的IP地址?在我看来,它会回显服务器的地址。 谢谢罗宾。是的,有时你不会得到正确的结果。请使用第二种解决方案。 @MahfuzAhmed,你能告诉我,file_get_contents() 是做什么的吗?以及如何通过 file_get_contents() 获取 IP file_get_contents 在这里完全没用:) 在第 1 行初始化$ip 有什么需要。如果所有条件都失败,那么 $ip = $_SERVER['REMOTE_ADDR'] 也会运行。【参考方案17】:
嗯,这可以通过使用名为$_SERVER 的GLOBAL 变量来简单地完成。
$_SERVER 是一个属性名为 REMOTE_ADDR 的数组。
只需像这样分配它:
$userIp = $_SERVER['REMOTE_ADDR'];
或者像echo $_SERVER['REMOTE_ADDR'];一样直接使用
或echo ($_SERVER['REMOTE_ADDR']);。
【讨论】:
【参考方案18】:以下函数确定所有可能性并以逗号分隔格式(ip、ip 等)返回值。
它还有一个可选的验证功能,作为(默认禁用的第一个参数)来验证 IP 地址(私有范围和保留范围)。
<?php
echo GetClientIP(true);
function GetClientIP($validate = False)
$ipkeys = array(
'REMOTE_ADDR',
'HTTP_CLIENT_IP',
'HTTP_X_FORWARDED_FOR',
'HTTP_X_FORWARDED',
'HTTP_FORWARDED_FOR',
'HTTP_FORWARDED',
'HTTP_X_CLUSTER_CLIENT_IP'
);
/*
Now we check each key against $_SERVER if containing such value
*/
$ip = array();
foreach ($ipkeys as $keyword)
if (isset($_SERVER[$keyword]))
if ($validate)
if (ValidatePublicIP($_SERVER[$keyword]))
$ip[] = $_SERVER[$keyword];
else
$ip[] = $_SERVER[$keyword];
$ip = ( empty($ip) ? 'Unknown' : implode(", ", $ip) );
return $ip;
function ValidatePublicIP($ip)
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE))
return true;
else
return false;
【讨论】:
【参考方案19】:正如之前所有其他人所说,您可以使用 $_SERVER['REMOTE_ADDR']; 获取客户端 IP 地址。
另外,如果您需要有关用户的更多信息,您可以使用此:
<?php
$ip = '0.0.0.0';
$ip = $_SERVER['REMOTE_ADDR'];
$clientDetails = json_decode(file_get_contents("http://ipinfo.io/$ip/json"));
echo "You're logged in from: <b>" . $clientDetails->country . "</b>";
?>
客户更具体的信息在 $clientDetails 中。 您可以通过以下方式获取存储在 $clientDetails 变量中的 JSON 项目:$clientDetails->PostalCode/hostname/region/loc...
我正在使用ipinfo.io 来获取更多信息。
【讨论】:
【参考方案20】:这个功能很紧凑,你可以在任何地方使用它。但是!
不要忘记这一点!在此类函数或代码块中,无法保证记录用户的真实 IP 地址,因为某些用户可以使用代理或其他安全网关来隐藏或无法跟踪
PHP函数:
function GetIP()
if ( getenv("HTTP_CLIENT_IP") )
$ip = getenv("HTTP_CLIENT_IP");
elseif ( getenv("HTTP_X_FORWARDED_FOR") )
$ip = getenv("HTTP_X_FORWARDED_FOR");
if ( strstr($ip, ',') )
$tmp = explode(',', $ip);
$ip = trim($tmp[0]);
else
$ip = getenv("REMOTE_ADDR");
return $ip;
用法:
$IP = GetIP();或直接GetIP();
【讨论】:
【参考方案21】:互联网背后有不同类型的用户,所以我们想从不同的部分获取 IP 地址。它们是:
1. $_SERVER['REMOTE_ADDR'] -
这包含客户端的真实 IP 地址。这是您可以从用户那里找到的最可靠的价值。
2。 $_SERVER['REMOTE_HOST'] -
这将获取用户正在查看当前页面的主机名。但是要让这个脚本工作,必须配置在 httpd.conf 中的主机名查找。
3. $_SERVER['HTTP_CLIENT_IP'] -
当用户来自共享 Internet 服务时,这将获取 IP 地址。
4. $_SERVER['HTTP_X_FORWARDED_FOR'] - 当他/她在代理后面时,这将从用户那里获取 IP 地址。
所以我们可以使用下面这个组合函数从不同位置的用户那里获取真实的IP地址,
// Function to get the user IP address
function getUserIP()
$ipaddress = '';
if (isset($_SERVER['HTTP_CLIENT_IP']))
$ipaddress = $_SERVER['HTTP_CLIENT_IP'];
else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
$ipaddress = $_SERVER['HTTP_X_FORWARDED_FOR'];
else if(isset($_SERVER['HTTP_X_FORWARDED']))
$ipaddress = $_SERVER['HTTP_X_FORWARDED'];
else if(isset($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
$ipaddress = $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
else if(isset($_SERVER['HTTP_FORWARDED_FOR']))
$ipaddress = $_SERVER['HTTP_FORWARDED_FOR'];
else if(isset($_SERVER['HTTP_FORWARDED']))
$ipaddress = $_SERVER['HTTP_FORWARDED'];
else if(isset($_SERVER['REMOTE_ADDR']))
$ipaddress = $_SERVER['REMOTE_ADDR'];
else
$ipaddress = 'UNKNOWN';
return $ipaddress;
【讨论】:
真的很容易造假。我刚刚通过将 Client-ip 标头设置为“111.111.111.111”在我自己的网站上尝试了 Requestly Chrome 扩展。【参考方案22】:获取 IP 地址的安全和警告感知 sn-p:
$ip = filter_input(INPUT_SERVER, 'HTTP_CLIENT_IP', FILTER_VALIDATE_IP)
?: filter_input(INPUT_SERVER, 'HTTP_X_FORWARDED_FOR', FILTER_VALIDATE_IP)
?: $_SERVER['REMOTE_ADDR']
?? '0.0.0.0'; // Or other value fits "not defined" in your logic
【讨论】:
【参考方案23】:这是一个简单的衬里
$ip = $_SERVER['HTTP_X_FORWARDED_FOR']?: $_SERVER['HTTP_CLIENT_IP']?: $_SERVER['REMOTE_ADDR'];
编辑:
上面的代码可能会返回reserved addresses(如10.0.0.1),所有代理服务器的list of addresses,等等。 要处理这些情况,请使用以下代码:
function valid_ip($ip)
// for list of reserved IP addresses, see https://en.wikipedia.org/wiki/Reserved_IP_addresses
return $ip && substr($ip, 0, 4) != '127.' && substr($ip, 0, 4) != '127.' && substr($ip, 0, 3) != '10.' && substr($ip, 0, 2) != '0.' ? $ip : false;
function get_client_ip()
// using explode to get only client ip from list of forwarders. see https://en.wikipedia.org/wiki/X-Forwarded-For
return
@$_SERVER['HTTP_X_FORWARDED_FOR'] ? explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'], 2)[0] :
@$_SERVER['HTTP_CLIENT_IP'] ? explode(',', $_SERVER['HTTP_CLIENT_IP'], 2)[0] :
valid_ip(@$_SERVER['REMOTE_ADDR']) ?:
'UNKNOWN';
echo get_client_ip();
【讨论】:
【参考方案24】:这是我使用的方法,它验证IPv4 输入:
// Get user IP address
if ( isset($_SERVER['HTTP_CLIENT_IP']) && ! empty($_SERVER['HTTP_CLIENT_IP']))
$ip = $_SERVER['HTTP_CLIENT_IP'];
elseif ( isset($_SERVER['HTTP_X_FORWARDED_FOR']) && ! empty($_SERVER['HTTP_X_FORWARDED_FOR']))
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
else
$ip = (isset($_SERVER['REMOTE_ADDR'])) ? $_SERVER['REMOTE_ADDR'] : '0.0.0.0';
$ip = filter_var($ip, FILTER_VALIDATE_IP);
$ip = ($ip === false) ? '0.0.0.0' : $ip;
【讨论】:
感谢您允许我通过设置 HTTP 标头来欺骗我的 IP 地址!【参考方案25】:我喜欢这个coden-p:
function getClientIP()
if (isset($_SERVER))
if (isset($_SERVER["HTTP_X_FORWARDED_FOR"]))
return $_SERVER["HTTP_X_FORWARDED_FOR"];
if (isset($_SERVER["HTTP_CLIENT_IP"]))
return $_SERVER["HTTP_CLIENT_IP"];
return $_SERVER["REMOTE_ADDR"];
if (getenv('HTTP_X_FORWARDED_FOR'))
return getenv('HTTP_X_FORWARDED_FOR');
if (getenv('HTTP_CLIENT_IP'))
return getenv('HTTP_CLIENT_IP');
return getenv('REMOTE_ADDR');
【讨论】:
我的意思是什么意思..getenv 给你的东西和$_SERVER 不一样吗?
@Paceriermy 猜测可能是旧版本的 PHP,其中 $_SERVER 尚不可用;)
@Johan 为什么不只返回一个包含所有三个的数组?
@nueverest 因为用户通常不会从 3 个不同的 IP 访问您的网站。您想返回适用于他的那个。【参考方案26】:
答案是使用$_SERVER 变量。例如,$_SERVER["REMOTE_ADDR"] 将返回客户端的 IP 地址。
【讨论】:
【参考方案27】:无论您做什么,请确保不要信任从客户端发送的数据。 $_SERVER['REMOTE_ADDR'] 包含连接方的真实 IP 地址。这是您能找到的最可靠的值。
但是,它们可能位于代理服务器之后,在这种情况下,代理可能设置了$_SERVER['HTTP_X_FORWARDED_FOR'],但该值很容易被欺骗。例如,它可以由没有代理的人设置,或者 IP 可以是来自代理后面的 LAN 的内部 IP。
这意味着如果您要保存$_SERVER['HTTP_X_FORWARDED_FOR'],请确保也保存$_SERVER['REMOTE_ADDR'] 值。例如。通过将这两个值保存在数据库的不同字段中。
如果您要将 IP 作为字符串保存到数据库中,请确保您有至少 45 个字符的空间。 IPv6 将继续存在,这些地址比旧的 IPv4 地址更大。
(请注意,IPv6 通常最多使用 39 个字符,但也有一个特殊的 IPv6 notation for IPv4 addresses,其完整形式最多可包含 45 个字符。因此,如果您知道自己在做什么,则可以使用 39 个字符,但如果您只想设置并忘记它,使用 45)。
【讨论】:
不错的答案!我已经在为我的服务器使用 $_SERVER['REMOTE_ADDR'],我喜欢你包含另一种方式,以及优点和缺点。 注意:REMOTE_ADDR 可能不包含 TCP 连接的真实 IP。这完全取决于您的 SAPI。确保您的 SAPI 配置正确,以便 $_SERVER['REMOTE_ADDR'] 实际上返回 TCP 连接的 IP。失败可能会导致一些严重的漏洞,例如,StackExchange 曾经通过检查REMOTE_ADDR 来授予admin 访问权限,以查看它是否匹配“localhost”,不幸的是SAPI 的配置...... ..................................................... ....................
................................................. ................................有一个漏洞(它需要HTTP_X_FORWARDED_FOR 作为输入),它允许非管理员通过更改 HTTP_X_FORWARDED_FOR 标头获得管理员访问权限。另见blog.ircmaxell.com/2012/11/anatomy-of-attack-how-i-hacked.html
@EmilVikström 我尝试回显所有内容 - $_SERVER["HTTP_CLIENT_IP"]; $_SERVER['REMOTE_ADDR']; $_SERVER['HTTP_X_FORWARDED_FOR']; $_SERVER['HTTP_X_FORWARDED']; $_SERVER['HTTP_FORWARDED_FOR']; $_SERVER['HTTP_FORWARDED'];和 $_SERVER['HTTP_X_CLUSTER_CLIENT_IP']; - 唯一一个从两者都返回一些 IP 值 - 通过我的浏览器和代理服务器直接访问是 REMOTE_ADDR var。其余所有 6 个变量都以空白形式出现。这里错过了什么? .....
.....@Pacerier - 你身边的任何 cmets 以及上面【参考方案28】:
它应该包含在$_SERVER['REMOTE_ADDR'] 变量中。
【讨论】:
【参考方案29】:echo $_SERVER['REMOTE_ADDR'];
http://php.net/manual/en/reserved.variables.server.php
【讨论】:
其实我想知道使用我网站的客户的IP地址。不是我的页面上传或执行的服务器 IP 地址。请帮助我。 @Anup Prakash 这就是它——因此是“REMOTE”(从脚本的角度来看)。 因为你在 localhost ;) @SiKni8::1 是 127.0.0.1 的 IPv6 等价物
@CamiloMartin 你刚刚教会了我一些东西。酷!以上是关于如何在 PHP 中获取客户端 IP 地址的主要内容,如果未能解决你的问题,请参考以下文章