如何在 PHP 中获取客户端 IP 地址

如何使用 PHP 获取客户端 IP 地址?

我想保留通过其 IP 地址登录到我的网站的用户的记录。

答案

无论做什么,请确保不要信任从客户端发送的数据。 $_SERVER['REMOTE_ADDR']包含连接方的真实 IP 地址。那是您能找到的最可靠的价值。

但是,它们可能位于代理服务器之后,在这种情况下,代理可能已设置$_SERVER['HTTP_X_FORWARDED_FOR'] ,但此值很容易被欺骗。例如,它可以由没有代理的人设置,或者 IP 可以是来自代理后面的 LAN 的内部 IP。

这意味着,如果要保存$_SERVER['HTTP_X_FORWARDED_FOR'] ,请确保保存$_SERVER['REMOTE_ADDR']值。例如,通过将两个值保存在数据库的不同字段中。

如果要将 IP 作为字符串保存到数据库中,请确保至少有45 个字符的空间。 IPv6仍然存在,并且这些地址大于旧的 IPv4 地址。

(请注意,IPv6 通常最多使用 39 个字符,但是IPv4 地址也有特殊的IPv6 表示法 ,其完整形式最多可以包含 45 个字符。因此,如果您知道自己在做什么,则可以使用 39 个字符,但是如果只想设置并忘记它,请使用 45)。

$_SERVER['REMOTE_ADDR']实际上可能不包含真实的客户端 IP 地址,因为它将为您提供通过代理连接的客户端的代理地址。不过,这可能正是您真正想要的,这取决于您对 IP 的处理方式。如果您说某人的专用 RFC1918 地址,可能对您没有好处,请尝试查看您的流量来自何处,或者记住用户最后连接的 IP,以及代理或 NAT 网关的公共 IP 可能更多。适合存放。

有几个 HTTP 标头,例如X-Forwarded-For ,可能由各种代理设置,也可能没有设置。问题在于这些仅仅是 HTTP 头,任何人都可以设置。无法保证其内容。 $_SERVER['REMOTE_ADDR']是 Web 服务器从其接收连接并将响应发送到的实际物理 IP 地址。其他任何东西都只是武断和自愿的信息。只有一种情况可以信任此信息:您正在控制设置此标头的代理。仅当您知道 100%设置标头的位置和方式时,才应注意任何重要事项。

话虽如此,这是一些示例代码:

if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
    $ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
    $ip = $_SERVER['REMOTE_ADDR'];
}

编者注:使用上述代码具有安全性 。客户端可以将所有 HTTP 标头信息(即$_SERVER['HTTP_... )设置为所需的任意值。因此,使用$_SERVER['REMOTE_ADDR']更加可靠,因为用户无法设置。

来自: http : //roshanbh.com.np/2007/12/getting-real-ip-address-in-php.html

这是一个更干净的代码示例,它是获取用户 IP 地址的好方法。

$ip = $_SERVER['HTTP_CLIENT_IP'] ? $_SERVER['HTTP_CLIENT_IP'] : ($_SERVER['HTTP_X_FORWARDED_FOR'] ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR']);

这是使用 elvis 运算符的较短版本:

$_SERVER['HTTP_CLIENT_IP'] ? : ($_SERVER['HTTP_X_FORWARDED_FOR'] ? : $_SERVER['REMOTE_ADDR']);

这是使用 isset 删除通知的版本(谢谢 @shasi kanth):

$ip = isset($_SERVER['HTTP_CLIENT_IP']) ? $_SERVER['HTTP_CLIENT_IP'] : isset($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : $_SERVER['REMOTE_ADDR'];

它应包含在$_SERVER['REMOTE_ADDR']变量中。

我最喜欢的解决方案是 Zend Framework 2 的使用方式。它还考虑了$_SERVER属性HTTP_X_FORWARDED_FORHTTP_CLIENT_IPREMOTE_ADDR但是它声明了一个用于设置某些受信任代理的类,并且返回一个 IP 地址而不是数组。我认为这是最接近的解决方案:

class RemoteAddress
{
    /**
     * Whether to use proxy addresses or not.
     *
     * As default this setting is disabled - IP address is mostly needed to increase
     * security. HTTP_* are not reliable since can easily be spoofed. It can be enabled
     * just for more flexibility, but if user uses proxy to connect to trusted services
     * it's his/her own risk, only reliable field for IP address is $_SERVER['REMOTE_ADDR'].
     *
     * @var bool
     */
    protected $useProxy = false;

    /**
     * List of trusted proxy IP addresses
     *
     * @var array
     */
    protected $trustedProxies = array();

    /**
     * HTTP header to introspect for proxies
     *
     * @var string
     */
    protected $proxyHeader = 'HTTP_X_FORWARDED_FOR';

    // [...]

    /**
     * Returns client IP address.
     *
     * @return string IP address.
     */
    public function getIpAddress()
    {
        $ip = $this->getIpAddressFromProxy();
        if ($ip) {
            return $ip;
        }

        // direct IP address
        if (isset($_SERVER['REMOTE_ADDR'])) {
            return $_SERVER['REMOTE_ADDR'];
        }

        return '';
    }

    /**
     * Attempt to get the IP address for a proxied client
     *
     * @see http://tools.ietf.org/html/draft-ietf-appsawg-http-forwarded-10#section-5.2
     * @return false|string
     */
    protected function getIpAddressFromProxy()
    {
        if (!$this->useProxy
            || (isset($_SERVER['REMOTE_ADDR']) && !in_array($_SERVER['REMOTE_ADDR'], $this->trustedProxies))
        ) {
            return false;
        }

        $header = $this->proxyHeader;
        if (!isset($_SERVER[$header]) || empty($_SERVER[$header])) {
            return false;
        }

        // Extract IPs
        $ips = explode(',', $_SERVER[$header]);
        // trim, so we can compare against trusted proxies properly
        $ips = array_map('trim', $ips);
        // remove trusted proxy IPs
        $ips = array_diff($ips, $this->trustedProxies);

        // Any left?
        if (empty($ips)) {
            return false;
        }

        // Since we've removed any known, trusted proxy servers, the right-most
        // address represents the first IP we do not know about -- i.e., we do
        // not know if it is a proxy server, or a client. As such, we treat it
        // as the originating IP.
        // @see http://en.wikipedia.org/wiki/X-Forwarded-For
        $ip = array_pop($ips);
        return $ip;
    }

    // [...]
}

在此处查看完整的代码: https : //raw.githubusercontent.com/zendframework/zend-http/master/src/PhpEnvironment/RemoteAddress.php

Internet 背后有不同类型的用户,因此我们想从不同部分捕获 IP 地址。那些是:

1. $_SERVER['REMOTE_ADDR'] - 包含客户端的真实 IP 地址。这是您可以从用户那里找到的最可靠的值。

2. $_SERVER['REMOTE_HOST'] - 这将获取用户从中查看当前页面的主机名。但是,要使此脚本起作用,必须在 httpd.conf 内部配置主机名查找。

3. $_SERVER['HTTP_CLIENT_IP'] - 当用户来自共享 Internet 服务时,它将获取 IP 地址。

4. $_SERVER['HTTP_X_FORWARDED_FOR'] - 当用户位于代理后面时,这将从用户那里获取 IP 地址。

因此,我们可以使用以下组合功能从处于不同位置的用户那里获取真实 IP 地址,

// Function to get the user IP address
function getUserIP() {
    $ipaddress = '';
    if (isset($_SERVER['HTTP_CLIENT_IP']))
        $ipaddress = $_SERVER['HTTP_CLIENT_IP'];
    else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
        $ipaddress = $_SERVER['HTTP_X_FORWARDED_FOR'];
    else if(isset($_SERVER['HTTP_X_FORWARDED']))
        $ipaddress = $_SERVER['HTTP_X_FORWARDED'];
    else if(isset($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
        $ipaddress = $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
    else if(isset($_SERVER['HTTP_FORWARDED_FOR']))
        $ipaddress = $_SERVER['HTTP_FORWARDED_FOR'];
    else if(isset($_SERVER['HTTP_FORWARDED']))
        $ipaddress = $_SERVER['HTTP_FORWARDED'];
    else if(isset($_SERVER['REMOTE_ADDR']))
        $ipaddress = $_SERVER['REMOTE_ADDR'];
    else
        $ipaddress = 'UNKNOWN';
    return $ipaddress;
}

以下是我找到的最高级的方法,并且我过去已经尝试过其他方法。确保获得访问者的 IP 地址是有效的(但请注意,任何黑客都可以轻易地伪造 IP 地址)。

function get_ip_address() {

    // Check for shared Internet/ISP IP
    if (!empty($_SERVER['HTTP_CLIENT_IP']) && validate_ip($_SERVER['HTTP_CLIENT_IP'])) {
        return $_SERVER['HTTP_CLIENT_IP'];
    }

    // Check for IP addresses passing through proxies
    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {

        // Check if multiple IP addresses exist in var
        if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false) {
            $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
            foreach ($iplist as $ip) {
                if (validate_ip($ip))
                    return $ip;
            }
        }
        else {
            if (validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
                return $_SERVER['HTTP_X_FORWARDED_FOR'];
        }
    }
    if (!empty($_SERVER['HTTP_X_FORWARDED']) && validate_ip($_SERVER['HTTP_X_FORWARDED']))
        return $_SERVER['HTTP_X_FORWARDED'];
    if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
        return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
    if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
        return $_SERVER['HTTP_FORWARDED_FOR'];
    if (!empty($_SERVER['HTTP_FORWARDED']) && validate_ip($_SERVER['HTTP_FORWARDED']))
        return $_SERVER['HTTP_FORWARDED'];

    // Return unreliable IP address since all else failed
    return $_SERVER['REMOTE_ADDR'];
}

/**
 * Ensures an IP address is both a valid IP address and does not fall within
 * a private network range.
 */
function validate_ip($ip) {

    if (strtolower($ip) === 'unknown')
        return false;

    // Generate IPv4 network address
    $ip = ip2long($ip);

    // If the IP address is set and not equivalent to 255.255.255.255
    if ($ip !== false && $ip !== -1) {
        // Make sure to get unsigned long representation of IP address
        // due to discrepancies between 32 and 64 bit OSes and
        // signed numbers (ints default to signed in PHP)
        $ip = sprintf('%u', $ip);

        // Do private network range checking
        if ($ip >= 0 && $ip <= 50331647)
            return false;
        if ($ip >= 167772160 && $ip <= 184549375)
            return false;
        if ($ip >= 2130706432 && $ip <= 2147483647)
            return false;
        if ($ip >= 2851995648 && $ip <= 2852061183)
            return false;
        if ($ip >= 2886729728 && $ip <= 2887778303)
            return false;
        if ($ip >= 3221225984 && $ip <= 3221226239)
            return false;
        if ($ip >= 3232235520 && $ip <= 3232301055)
            return false;
        if ($ip >= 4294967040)
            return false;
    }
    return true;
}

答案是使用$_SERVER变量。例如, $_SERVER["REMOTE_ADDR"]将返回客户端的 IP 地址。

正如所有其他人所说,可以使用$_SERVER['REMOTE_ADDR'];获取客户端 IP 地址。

另外,如果您需要有关用户的更多信息,则可以使用以下方法:

<?php
    $ip = '0.0.0.0';
    $ip = $_SERVER['REMOTE_ADDR'];
    $clientDetails = json_decode(file_get_contents("http://ipinfo.io/$ip/json"));
    echo "You're logged in from: <b>" . $clientDetails->country . "</b>";
?>

客户的更具体的信息在 $ clientDetails 中。
您可以通过以下方式获取存储在 $ clientDetails 变量中的 JSON 项:$ clientDetails-> PostalCode / hostname / region / loc ...

我正在使用ipinfo.io来获取更多信息。