REMOTE_ADDR協議頭獲取真實IP地址是不可偽造的

今天就是講給REMOTE_ADDR不可以偽造的,就在curl 中也無法偽造 相對是比較安全的服務端ip獲取方法,當然,也有可能被路由偽造 這個不好說,因為REMOTE_ADDR 是底層的回話ip地址,路由是可以發起偽造。所以,網上很多人都在問這個問題,也有很多人不死心,但現實確實是殘酷的 也是完美的


 給個演示案例你吧:你就信了

1.將以下代碼保存為 Client.php 

//php腳本開始
<?php
$ch = curl_init();
$url = "http://localhost/ser.php";
$header = array( 'CLIENT-IP:208.165.188.175', 'X-FORWARDED-FOR:208.165.188.175, );
//聲明偽造head請求頭
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,true);
$page_content = curl_exec($ch); curl_close($ch);
echo $page_content;?>


2.將以下文件保存為ser.php

//php腳本開始
<?php
echo getenv('HTTP_CLIENT_IP');
echo getenv('HTTP_X_FORWARDED_FOR');
echo getenv('REMOTE_ADDR');
?>


3.運行結果

//html腳本開始
208.165.188.175
208.165.188.175
127.0.0.1
//上面結果可看出,http_client_ip,http_x_forwarded_for 都被偽造了
而remote_addr 還是127.0.0.1 就是客戶端ip


4.附上一個PHP獲取IP地址函數

function get_real_ip($type = 0,$adv=false) {
    $type       =  $type ? 1 : 0;
    static $ip  =   NULL;
    if ($ip !== NULL) return $ip[$type];
    if($adv){
        if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
            $arr    =   explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
            $pos    =   array_search('unknown',$arr);
            if(false !== $pos) unset($arr[$pos]);
            $ip     =   trim($arr[0]);
        }elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
            $ip     =   $_SERVER['HTTP_CLIENT_IP'];
        }elseif (isset($_SERVER['REMOTE_ADDR'])) {
            $ip     =   $_SERVER['REMOTE_ADDR'];
        }
    }elseif (isset($_SERVER['REMOTE_ADDR'])) {
        $ip     =   $_SERVER['REMOTE_ADDR'];
    }
    // IP地址合法驗證
    $long = sprintf("%u",ip2long($ip));
    $ip   = $long ? array($ip, $long) : array('0.0.0.0', 0);
    return $ip[$type];
}

參考文章:https://www.test404.com/post-1448.html?wafcloud=1

轉載請注明出處 AE博客|墨淵 ? REMOTE_ADDR協議頭獲取真實IP地址是不可偽造的

相關推薦

發表評論

路人甲

網友評論(2)

thinkphp5抄了你獲取ip的方法
test 3周前 (2019-09-05) 回復
神馬電影院 www.cloedu.cn
China小棟 8個月前 (2019-01-24) 回復