function getClientIp(){ if(isset($_SERVER['HTTP_CLIENT_IP'])){ $ip = $_SERVER['HTTP_CLIENT_IP']; }//不一定所有服务器有HTTP_CLIENT_IP if(isset($_SERVER['HTTP_X_REAL_IP'])){ $ip = $_SERVER['HTTP_X_REAL_IP'];//HTTP_X_REAL_IP其值在不同的代理环境不固定 }elseif(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];//每次代理在后面,第一个是真实 $ips = explode(',', $ip); $ip = $ips[0]; }elseif($_SERVER['REMOTE_ADDR']){ $ip = $_SERVER['REMOTE_ADDR']; }else{ $ip = '0.0.0.0'; } return $ip;
}
以下这里是别人的ps点,转自请输入链接描述
getenv坑死我了
和的区别,不支持的方式运行的函数在下能正常获取地址,而在中没有作用,而������和������的区别,������不支持���的�����方式运行的�ℎ�������(“����������”)函数在����ℎ�下能正常获取��地址,而在���中没有作用,而_SERVER['REMOTE_ADDR']函数,既可在apache中成功获取访客的ip地址,在iis下也同样有效
关于 REMOTE_ADDR
一,这个变量获取到的是《直接来源》的 IP 地址,所谓《直接来源》指的是直接请求该地址的客户端 IP 。这个 IP 在单服务器的情况下,很准确的是客户端 IP ,无法伪造。当然并不是所有的程序都一定是单服务器,比如在采用负载均衡的情况(比如采用
haproxy 或者 nginx 进行负载均衡),这个 IP 就是转发机器的 IP
,因为过程是客户端->负载均衡->服务端。是由负载均衡直接访问的服务端而不是客户端。
二、关于 HTTP_X_FORWARDED_FOR 和 HTTP_CLIENT_IP 基于《一》,在负载均衡的情况下直接使用
REMOTE_ADDR 是无法获取客户端 IP 的,这就是一个问题,必须解决。于是就衍生出了负载均衡端将客户端 IP 加入到 HEAD
中发送给服务端,让服务端可以获取到客户端的真实 IP 。当然也就产生了各位所说的伪造,毕竟 HEAD
除了协议里固定的那几个数据,其他数据都是可自定义的。
三、为何网上找到获取客户端 IP 的代码都要依次获取 HTTP_CLIENT_IP 、 HTTP_X_FORWARDED_FOR 和
REMOTE_ADDR 基于《一》和《二》以及对程序通用性的考虑,所以才这样做。 假设你在程序里直接写死了 REMOTE_ADDR
,有一天你们的程序需要做负载均衡了,那么你有得改了。当然如果你想这么做也行,看个人爱好和应用场景。也可以封装一个只有 REMOTE_ADDR
的方法,等到需要的时候改这一个方法就行了。
HTTP_CLIENT_IP: 头是有的,只是未成标准,不一定服务器都实现了。
X-Forwarded-For(XFF):
是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段,
格式:clientip,proxy1,proxy2
REMOTE_ADDR: 是可靠的, 它是最后一个跟你的服务器握手的IP,可能是用户的代理服务器,也可能是自己的反向代理。
X-Forwarded-For 和 X-Real-IP区别:
X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中,
而X-Real-IP,没有相关标准, 其值在不同的代理环境不固定
这里附一张对X-Forwarded-For的理解图,我觉得挺有帮助的:
