PHP獲取IP地址的方法,防止偽造IP地址注入攻擊

傑克.陳發表於2018-09-20

PHP獲取IP地址的方法

/**
 * 獲取客戶端IP地址
 * <br />來源：ThinkPHP
 * <br />"X-FORWARDED-FOR" 是代理伺服器通過 HTTP Headers 提供的客戶端IP。代理伺服器可以偽造任何IP。
 * <br />要防止偽造，不要讀這個IP即可（同時告訴使用者不要用HTTP 代理）。
 * @param integer $type 返回型別 0 返回IP地址 1 返回IPV4地址數字
 * @param boolean $adv 是否進行高階模式獲取（有可能被偽裝） 
 * @return mixed
 */
function get_client_ip($type = 0, $adv = false) {
    $type = $type ? 1 : 0;
    static $ip = NULL;
    if ($ip !== NULL)
        return $ip[$type];
    if ($adv) {
        if (isset($_SERVER[`HTTP_X_FORWARDED_FOR`])) {
            $arr = explode(`,`, $_SERVER[`HTTP_X_FORWARDED_FOR`]);
            $pos = array_search(`unknown`, $arr);
            if (false !== $pos)
                unset($arr[$pos]);
            $ip = trim($arr[0]);
        }elseif (isset($_SERVER[`HTTP_CLIENT_IP`])) {
            $ip = $_SERVER[`HTTP_CLIENT_IP`];
        } elseif (isset($_SERVER[`REMOTE_ADDR`])) {
            $ip = $_SERVER[`REMOTE_ADDR`];
        }
    } elseif (isset($_SERVER[`REMOTE_ADDR`])) {
        $ip = $_SERVER[`REMOTE_ADDR`];
    }
    // IP地址合法驗證, 防止通過IP注入攻擊
    $long = sprintf("%u", ip2long($ip));
    $ip = $long ? array($ip, $long) : array(`0.0.0.0`, 0);
    return $ip[$type];
}

/**
 * 獲得使用者的真實IP地址
 * <br />來源：ecshop
 * <br />$_SERVER和getenv的區別，getenv不支援IIS的isapi方式執行的php
 * @access  public
 * @return  string
 */
function real_ip() {
    static $realip = NULL;
    if ($realip !== NULL) {
        return $realip;
    }
    if (isset($_SERVER)) {
        if (isset($_SERVER[`HTTP_X_FORWARDED_FOR`])) {
            $arr = explode(`,`, $_SERVER[`HTTP_X_FORWARDED_FOR`]);
            /* 取X-Forwarded-For中第一個非unknown的有效IP字串 */
            foreach ($arr AS $ip) {
                $ip = trim($ip);

                if ($ip != `unknown`) {
                    $realip = $ip;

                    break;
                }
            }
        } elseif (isset($_SERVER[`HTTP_CLIENT_IP`])) {
            $realip = $_SERVER[`HTTP_CLIENT_IP`];
        } else {
            if (isset($_SERVER[`REMOTE_ADDR`])) {
                $realip = $_SERVER[`REMOTE_ADDR`];
            } else {
                $realip = `0.0.0.0`;
            }
        }
    } else {
        if (getenv(`HTTP_X_FORWARDED_FOR`)) {
            $realip = getenv(`HTTP_X_FORWARDED_FOR`);
        } elseif (getenv(`HTTP_CLIENT_IP`)) {
            $realip = getenv(`HTTP_CLIENT_IP`);
        } else {
            $realip = getenv(`REMOTE_ADDR`);
        }
    }
    // 使用正則驗證IP地址的有效性，防止偽造IP地址進行SQL隱碼攻擊
    preg_match("/[d.]{7,15}/", $realip, $onlineip);
    $realip = !empty($onlineip[0]) ? $onlineip[0] : `0.0.0.0`;
    return $realip;
}

X-Forwarded-For地址形式列舉：
unkonwn, unknown, 211.100.22.30
172.16.20.110, 202.116.64.196, 203.81.21.61
10.194.75.83, 10.194.73.11, 10.194.71.11, unknown
192.168.120.57, unknown, unknown, 211.10.10.195
unknown, 210.75.1.181
155.161.59.47, unknown

偽造IP地址進行注入攻擊：

IP偽造有幾種途徑，一種是通過是修改IP資料包，有興趣的可以去看看IP資料包的結構，還有一種就是利用修改http頭資訊來實現IP偽造。涉及到“客戶端”IP的通常使用3個環境變數：$_SERVER[`HTTP_CLIENT_IP`]和$_SERVER[`X_FORWARDED_FOR`]還有$_SERVER[`REMOTE_ADDR`]實際上，這3個環境變數都有侷限性。前兩個是可以隨意偽造。只要在傳送的http頭裡設定相應值就可以，任意字元都可以，而第3個環境變數，如果使用者使用了匿名代理，那這個變數顯示的就是代理IP。
一般獲取IP後更新到資料庫程式碼如：$sql=”update t_users set login_ip=`”.get_client_ip().”` where …”，而如果接收到的ip地址是：xxx.xxx.xxx.xxx`;delete from t_users;– ，代入引數SQL語句就變成了：”update t_users set login_ip=`xxx.xxx.xxx.xxx`;delete from t_users;– where …
所以獲取IP地址後，務必使用正則等對IP地址的有效性進行驗證，另外一定要使用引數化SQL命令！

總結：

“X-FORWARDED-FOR” 是代理伺服器通過 HTTP Headers 提供的客戶端IP。代理伺服器可以偽造任何IP。
要防止偽造，不要讀這個IP即可（同時告訴使用者不要用HTTP 代理）。
如果是PHP，$_SERVER[`REMOTE_ADDR`] 就是跟你伺服器直接連線的IP，用這個就可以了。

獲取伺服器IP地址：

/**
 * 獲取服務端IP地址
 * @return string
 * @since 1.0 2016-7-1 SoChishun Added.
 */
function get_host_ip() {
    return isset($_SERVER[`HTTP_X_FORWARDED_HOST`]) ? $_SERVER[`HTTP_X_FORWARDED_HOST`] : (isset($_SERVER[`HTTP_HOST`]) ? $_SERVER[`HTTP_HOST`] : ``);
}

參考文章：

http://www.cnblogs.com/skiplow/archive/2011/07/20/2111751.html (偽造IP地址進行SYN洪水攻擊)
http://www.feifeiboke.com/pcjishu/3391.html (你所不懂的火狐瀏覽器妙用之偽造IP地址)
https://segmentfault.com/q/1010000000095850#a-1020000000098537 (如何避免使用者訪問請求偽造ip)
http://blog.csdn.net/clh604/article/details/9234473 (PHP使用curl偽造IP地址和header資訊)
http://www.cnblogs.com/lmule/archive/2010/10/15/1852020.html (REMOTE_ADDR，HTTP_CLIENT_IP，HTTP_X_FORWARDED_FOR)

版權宣告：本文采用署名-非商業性使用-相同方式共享(CC BY-NC-SA 3.0 CN)國際許可協議進行許可,轉載請註明作者及出處。
本文標題：PHP獲取IP地址的方法,防止偽造IP地址注入攻擊
本文連結：http://www.cnblogs.com/sochishun/p/7168860.html
本文作者：SoChishun (郵箱:14507247#qq.com | 部落格:http://www.cnblogs.com/sochishun/)
發表日期：2017年7月14日

獲取IP地址方法
2017-10-10
取IP地址的方法
2007-04-14
java 偽造http請求ip地址
2019-01-19
JavaHTTP
saltstack獲取IP地址
2019-01-03
獲取IP地址命令
2007-09-19
ASPNET獲取IP地址 MAC地址
2008-06-23
Mac
java獲取ip地址和mac地址
2011-12-29
JavaMac
Apapche獲取真實IP地址方法
2018-01-07
美國ip地址如何獲取？
2021-09-11
獲取真實IP地址
2014-02-11
Java 中獲取MAC地址和IP地址
2011-03-28
JavaMac
java獲取本機的ip地址
2020-04-06
Java
獲取本地的IP地址（內網）
2014-08-19
內網
DHCP獲取IP地址的過程
2012-02-28
Oracle獲取連線的IP地址
2015-10-27
Oracle
如何獲取海外住宅IP地址？
2021-11-17
jQuery獲取本機ip地址
2018-06-27
jQuery
Java獲取本機ip地址
2016-05-18
Java
js根據ip地址獲取省份城市的方法
2018-09-10
JS
獲取IP地址的途徑有哪些？要如何保護IP地址不被竊取？
2022-08-25
最簡單的C# 獲取 MAC 地址 IP 地址
2010-03-01
C#Mac
網路攻擊中常見掩蓋真實IP的攻擊方式及虛假IP地址追蹤溯源方法
2022-09-21
什麼是自動獲取IP地址
2019-08-05
如何設定自動獲取ip地址
2021-09-11
[Q]怎麼樣獲取IP地址zt
2005-03-15
Java獲取本機名稱、本機MAC地址、IP地址
2016-10-22
JavaMac
w10如何設定自動獲取ip地址_w10怎麼自動獲取ip地址
2019-12-19
電腦ip地址在哪電腦ip地址查詢方法
2022-09-14
【TCP/IP】IP地址分類和特殊IP地址
2018-07-12
TCP
Linux Shell指令碼中獲取本機ip地址方法
2015-12-24
Linux指令碼
【Go】獲取使用者真實的ip地址
2019-03-28
Go
【Go】獲取使用者真實的 ip 地址
2019-03-28
Go
js根據IP地址獲取當前的省市
2018-06-11
JS
Oracle中獲取主機名和IP地址
2018-06-27
Oracle
SQL解惑-如何從字串中獲取IP地址
2017-06-14
SQL字串
android 獲取裝置IP和Mac地址
2013-11-14
AndroidMac
js根據ip地址獲取所在城市
2015-01-10
JS
IP地址
2018-05-28

PHP獲取IP地址的方法,防止偽造IP地址注入攻擊

相關文章