PHP でユーザーの正しい IP アドレスを取得する最も正確な方法は何ですか?
-
06-07-2019 - |
質問
たくさんあることは知っています $_サーバー IP アドレスの取得に使用できる変数ヘッダー。上記の変数を使用してユーザーの実際の IP アドレスを最も正確に取得する方法 (完璧な方法がないことはわかっていますが) について一般的なコンセンサスがあるかどうか疑問に思ったのですが?
私は詳細な解決策を見つけるために時間を費やし、多くのソースに基づいて次のコードを思いつきました。誰かが答えに穴を開けたり、おそらくより正確なものに光を当てたりしてくれれば幸いです。
編集には @Alix による最適化が含まれています
/**
* Retrieves the best guess of the client's actual IP address.
* Takes into account numerous HTTP proxy headers due to variations
* in how different ISPs handle IP addresses in headers between hops.
*/
public function get_ip_address() {
// Check for shared internet/ISP IP
if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
return $_SERVER['HTTP_CLIENT_IP'];
// Check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
// Check if multiple IP addresses exist in var
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip) {
if ($this->validate_ip($ip))
return $ip;
}
}
}
if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
return $_SERVER['HTTP_X_FORWARDED'];
if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
return $_SERVER['HTTP_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
return $_SERVER['HTTP_FORWARDED'];
// Return unreliable IP address since all else failed
return $_SERVER['REMOTE_ADDR'];
}
/**
* Ensures an IP address is both a valid IP address and does not fall within
* a private network range.
*
* @access public
* @param string $ip
*/
public function validate_ip($ip) {
if (filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_IPV4 |
FILTER_FLAG_IPV6 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE) === false)
return false;
self::$ip = $ip;
return true;
}
警告の言葉(更新)
REMOTE_ADDR
今でもを代表する 最も信頼できる IP アドレスのソース。もう一つは $_SERVER
ここで説明した変数は、リモート クライアントによって非常に簡単に偽装される可能性があります。このソリューションの目的は、プロキシの背後にあるクライアントの IP アドレスを特定することです。一般的な目的では、これを、から直接返された IP アドレスと組み合わせて使用することを検討してください。 $_SERVER['REMOTE_ADDR']
そして両方を保管します。
99.9% のユーザーにとって、このソリューションはニーズに完全に適合します。 独自のリクエスト ヘッダーを挿入してシステムを悪用しようとする 0.1% の悪意のあるユーザーからは保護されません。ミッションクリティカルな何かのために IP アドレスに依存している場合は、次の手段に頼ってください。 REMOTE_ADDR
そして、プロキシの背後にある人々にわざわざ対応する必要はありません。
解決
IP アドレスを取得するための、より短くクリーンな方法は次のとおりです。
function get_ip_address(){
foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key){
if (array_key_exists($key, $_SERVER) === true){
foreach (explode(',', $_SERVER[$key]) as $ip){
$ip = trim($ip); // just to be safe
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false){
return $ip;
}
}
}
}
}
お役に立てれば幸いです!
あなたのコードはすでにかなり完成しているようですが、(通常の IP に関する注意事項を除けば)コードにバグの可能性は見当たりません。 validate_ip()
ただし、この関数はフィルター拡張機能に依存します。
public function validate_ip($ip)
{
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) === false)
{
return false;
}
self::$ip = sprintf('%u', ip2long($ip)); // you seem to want this
return true;
}
あなたの HTTP_X_FORWARDED_FOR
スニペットは次のように簡略化できます。
// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
// check if multiple ips exist in var
if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false)
{
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip)
{
if ($this->validate_ip($ip))
return $ip;
}
}
else
{
if ($this->validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
return $_SERVER['HTTP_X_FORWARDED_FOR'];
}
}
これに対して:
// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip)
{
if ($this->validate_ip($ip))
return $ip;
}
}
IPv6 アドレスを検証することもできます。
他のヒント
ただし、それでも、ユーザーの実際の IP アドレスの取得の信頼性は低くなります。彼らがしなければならないことは、匿名プロキシ サーバー (http_x_forwarded_for、http_forwarded などのヘッダーを無視するプロキシ サーバー) を使用することだけであり、取得できるのはプロキシ サーバーの IP アドレスだけです。
次に、匿名のプロキシ サーバーの IP アドレスのリストがあるかどうかを確認できますが、それが 100% 正確であることを確認する方法はなく、せいぜいそれがプロキシ サーバーであることを通知することだけです。そして誰かが賢ければ、HTTP 転送のヘッダーを偽装することができます。
私は地元の大学が好きではないとしましょう。私は彼らが登録した IP アドレスを把握し、悪いことをしてあなたのサイトで彼らの IP アドレスを禁止させます。なぜなら、あなたが HTTP 転送を尊重しているからです。リストは無限にあります。
次に、ご想像のとおり、前に説明した大学のネットワークなどの内部 IP アドレスがあります。多くの場合、10.x.x.x 形式が使用されます。したがって、わかることは、それが共有ネットワークに転送されたということだけです。
それでは、詳しくは説明しませんが、動的 IP アドレスはもはやブロードバンドの手段です。それで。ユーザーの IP アドレスを取得した場合でも、長くても 2 ~ 3 か月で変更されると考えてください。
を使用しております:
/**
* Get the customer's IP address.
*
* @return string
*/
public function getIpAddress() {
if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
return $_SERVER['HTTP_CLIENT_IP'];
} else if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ips = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
return trim($ips[count($ips) - 1]);
} else {
return $_SERVER['REMOTE_ADDR'];
}
}
HTTP_X_FORWARDED_FOR での爆発は、IP アドレスの検出時に発生した奇妙な問題が原因です。 イカ 使われた。
私の答えは基本的に、@AlixAxelの答えの洗練され、完全に検証され、完全にパッケージ化されたバージョンです。
<?php
/* Get the 'best known' client IP. */
if (!function_exists('getClientIP'))
{
function getClientIP()
{
if (isset($_SERVER["HTTP_CF_CONNECTING_IP"]))
{
$_SERVER['REMOTE_ADDR'] = $_SERVER["HTTP_CF_CONNECTING_IP"];
};
foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key)
{
if (array_key_exists($key, $_SERVER))
{
foreach (explode(',', $_SERVER[$key]) as $ip)
{
$ip = trim($ip);
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false)
{
return $ip;
};
};
};
};
return false;
};
};
$best_known_ip = getClientIP();
if(!empty($best_known_ip))
{
$ip = $clients_ip = $client_ip = $client_IP = $best_known_ip;
}
else
{
$ip = $clients_ip = $client_ip = $client_IP = $best_known_ip = '';
};
?>
変更点:
関数名が簡略化されます (「camelCase」書式スタイルを使用)。
これには、関数がコードの別の部分でまだ宣言されていないことを確認するチェックが含まれています。
「CloudFlare」との互換性が考慮されています。
複数の「IP 関連」変数名を「getClientIP」関数の戻り値に初期化します。
これにより、関数が有効な IP アドレスを返さない場合、すべての変数が空の文字列ではなく空の文字列に設定されるようになります。
null
.コードはわずか (45) 行です。
最大の疑問は、何の目的で?
あなたのコードは可能な限り包括的です。ただし、プロキシが追加されたヘッダーのように見えるものを見つけた場合は、CLIENT_IP の INSTEAD を使用していることがわかります。ただし、監査目的でこの情報が必要な場合は警告してください。これは非常に簡単です偽物にする。
確かに、いかなる種類の認証にも IP アドレスを使用してはなりません。IP アドレスであってもなりすましの可能性があります。
非 http ポート経由でサーバーに接続するフラッシュまたは Java アプレットをプッシュアウトすることで、クライアントの IP アドレスをより正確に測定できます (そのため、透過的なプロキシや、プロキシによって挿入されたヘッダーが false であるケースが明らかになります)。クライアントが Web プロキシ経由でのみ接続できる場合、または送信ポートがブロックされている場合、アプレットからの接続は存在しないことに注意してください。
C.
ただ、 VB.NET 答えのバージョン:
Private Function GetRequestIpAddress() As IPAddress
Dim serverVariables = HttpContext.Current.Request.ServerVariables
Dim headersKeysToCheck = {"HTTP_CLIENT_IP", _
"HTTP_X_FORWARDED_FOR", _
"HTTP_X_FORWARDED", _
"HTTP_X_CLUSTER_CLIENT_IP", _
"HTTP_FORWARDED_FOR", _
"HTTP_FORWARDED", _
"REMOTE_ADDR"}
For Each thisHeaderKey In headersKeysToCheck
Dim thisValue = serverVariables.Item(thisHeaderKey)
If thisValue IsNot Nothing Then
Dim validAddress As IPAddress = Nothing
If IPAddress.TryParse(thisValue, validAddress) Then
Return validAddress
End If
End If
Next
Return Nothing
End Function
上記にははるかに優れた簡潔な答えがあることを認識していますが、これは関数でも最も優雅なスクリプトでもありません。私たちのケースでは、スプーフィング可能な x_forwarded_for と、より信頼性の高い Remote_addr の両方を単純なスイッチで出力する必要がありました。(事前にフォーマットされた関数を返すだけではなく) 他の関数 if-none または if-singular に挿入するために空白を許可する必要がありました。プラットフォーム設定用にスイッチごとにカスタマイズされたラベルを持つ「オンまたはオフ」変数が必要でした。また、forwarded_for の形式をとるために、$ip がリクエストに応じて動的になる方法も必要でした。
また、isset() と !empty() のアドレスは誰も見ていませんでした。x_forwarded_for に何も入力しなくても、isset() の真がトリガーされて空白の var になる可能性があります。回避方法は、&& を使用し、両方を条件として組み合わせることです。「PWNED」のような単語を x_forwarded_for として偽装できることに注意してください。そのため、保護された場所または DB に出力する場合は、必ず実際の IP 構文に滅菌してください。
また、x_forwarder_for の配列を表示するためにマルチプロキシが必要な場合は、Google 翻訳を使用してテストすることもできます。ヘッダーをスプーフィングしてテストしたい場合は、これをチェックしてください Chrome クライアント ヘッダーのスプーフ 拡大。これは、プロキシの背後にある間は、デフォルトで標準のremote_addrになります。
Remote_addr が空になるケースはわかりませんが、万が一に備えてフォールバックとして存在します。
// proxybuster - attempts to un-hide originating IP if [reverse]proxy provides methods to do so
$enableProxyBust = true;
if (($enableProxyBust == true) && (isset($_SERVER['REMOTE_ADDR'])) && (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) && (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))) {
$ip = end(array_values(array_filter(explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']))));
$ipProxy = $_SERVER['REMOTE_ADDR'];
$ipProxy_label = ' behind proxy ';
} elseif (($enableProxyBust == true) && (isset($_SERVER['REMOTE_ADDR']))) {
$ip = $_SERVER['REMOTE_ADDR'];
$ipProxy = '';
$ipProxy_label = ' no proxy ';
} elseif (($enableProxyBust == false) && (isset($_SERVER['REMOTE_ADDR']))) {
$ip = $_SERVER['REMOTE_ADDR'];
$ipProxy = '';
$ipProxy_label = '';
} else {
$ip = '';
$ipProxy = '';
$ipProxy_label = '';
}
これらを以下の関数またはクエリ/エコー/ビューで使用するために動的にするには、たとえばログ生成やエラー報告のために、グローバルを使用するか、他の大量の条件や静的スキーマ出力を作成せずに、必要な場所にエコーするだけです。機能。
function fooNow() {
global $ip, $ipProxy, $ipProxy_label;
// begin this actions such as log, error, query, or report
}
皆様の素晴らしいご意見に感謝いたします。これらのヘッダーについてはまだ慣れていないので、もっと良い方法があるかどうか教えてください:)
単に IP アドレスを返すのではなく、IP 情報を含む配列を返すこの関数を思いつきました。
// Example usage:
$info = ip_info();
if ( $info->proxy ) {
echo 'Your IP is ' . $info->ip;
} else {
echo 'Your IP is ' . $info->ip . ' and your proxy is ' . $info->proxy_ip;
}
関数は次のとおりです。
/**
* Retrieves the best guess of the client's actual IP address.
* Takes into account numerous HTTP proxy headers due to variations
* in how different ISPs handle IP addresses in headers between hops.
*
* @since 1.1.3
*
* @return object {
* IP Address details
*
* string $ip The users IP address (might be spoofed, if $proxy is true)
* bool $proxy True, if a proxy was detected
* string $proxy_id The proxy-server IP address
* }
*/
function ip_info() {
$result = (object) array(
'ip' => $_SERVER['REMOTE_ADDR'],
'proxy' => false,
'proxy_ip' => '',
);
/*
* This code tries to bypass a proxy and get the actual IP address of
* the visitor behind the proxy.
* Warning: These values might be spoofed!
*/
$ip_fields = array(
'HTTP_CLIENT_IP',
'HTTP_X_FORWARDED_FOR',
'HTTP_X_FORWARDED',
'HTTP_X_CLUSTER_CLIENT_IP',
'HTTP_FORWARDED_FOR',
'HTTP_FORWARDED',
'REMOTE_ADDR',
);
foreach ( $ip_fields as $key ) {
if ( array_key_exists( $key, $_SERVER ) === true ) {
foreach ( explode( ',', $_SERVER[$key] ) as $ip ) {
$ip = trim( $ip );
if ( filter_var( $ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE ) !== false ) {
$forwarded = $ip;
break 2;
}
}
}
}
// If we found a different IP address then REMOTE_ADDR then it's a proxy!
if ( $forwarded != $result->ip ) {
$result->proxy = true;
$result->proxy_ip = $result->ip;
$result->ip = $forwarded;
}
return $result;
}
前に誰かが言ったように、ここで重要なのは、どのような理由でユーザーの IP アドレスを保存するかです。
私が取り組んでいる登録システムの例を示します。もちろん、私の検索で頻繁に登場するこの古い議論に貢献するためだけにソリューションを紹介します。
多くの PHP 登録ライブラリでは、 ip ユーザーの IP に基づいて失敗した試行を抑制/ロックアウトします。次の表を考えてみましょう。
-- mysql
DROP TABLE IF EXISTS `attempts`;
CREATE TABLE `attempts` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`ip` varchar(39) NOT NULL, /*<<=====*/
`expiredate` datetime NOT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
-- sqlite
...
次に、ユーザーがログインまたはパスワードのリセットなどのサービスに関連する操作を実行しようとすると、最初に関数が呼び出されます。
public function isBlocked() {
/*
* used one of the above methods to capture user's ip!!!
*/
$ip = $this->ip;
// delete attempts from this ip with 'expiredate' in the past
$this->deleteAttempts($ip, false);
$query = $this->dbh->prepare("SELECT count(*) FROM {$this->token->get('table_attempts')} WHERE ip = ?");
$query->execute(array($ip));
$attempts = $query->fetchColumn();
if ($attempts < intval($this->token->get('attempts_before_verify'))) {
return "allow";
}
if ($attempts < intval($this->token->get('attempts_before_ban'))) {
return "captcha";
}
return "block";
}
たとえば、次のように言います。 $this->token->get('attempts_before_ban') === 10
前のコードの場合と同様に、2 人のユーザーが同じ IP を取得します。 ヘッダーが偽装される可能性がある場所, 、その後、それぞれ 5 回試行した後、 どちらも禁止されています!さらに最悪の場合、すべてのユーザーが同じプロキシから来ている場合、最初の 10 人のユーザーのみがログに記録され、残りのユーザーはすべて禁止されます。
ここで重要なのは、テーブルに一意のインデックスが必要であるということです。 attempts
次のような組み合わせからそれを取得できます。
`ip` varchar(39) NOT NULL,
`jwt_load varchar(100) NOT NULL
どこ jwt_load
これは、次の http Cookie から取得されます。 jsonウェブトークン のみを保存するテクノロジー 暗号化された ペイロード すべき ユーザーごとに任意/一意の値が含まれます。もちろん、リクエストは次のように変更する必要があります。 "SELECT count(*) FROM {$this->token->get('table_attempts')} WHERE ip = ? AND jwt_load = ?"
そしてクラスはまた、 private $jwt
.
おそらく、展開された HTTP_X_FORWARDED_FOR を逆の順序で反復する必要があるのではないかと思います。私の経験では、ユーザーの IP アドレスはカンマ区切りリストの最後に来るため、ヘッダーの先頭から始めてください。返されたプロキシの 1 つの IP アドレスを取得する可能性が高くなりますが、多くのユーザーがそのプロキシを経由してアクセスする可能性があるため、依然としてセッション ハイジャックが可能になる可能性があります。
ありがとう、とても便利です。
ただし、コードが構文的に正しい場合は役に立ちます。このままでは20行目あたりに{が多すぎます。残念ながら、これを実際に試した人は誰もいないということです。
私が頭がおかしいのかもしれませんが、いくつかの有効なアドレスと無効なアドレスで試してみたところ、機能した validate_ip() の唯一のバージョンは次のとおりでした。
public function validate_ip($ip)
{
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE) === false)
return false;
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_RES_RANGE) === false)
return false;
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) === false && filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6) === false)
return false;
return true;
}
使用する場合の修正バージョンは次のとおりです クラウドフレア キャッシュ層サービス
function getIP()
{
$fields = array('HTTP_X_FORWARDED_FOR',
'REMOTE_ADDR',
'HTTP_CF_CONNECTING_IP',
'HTTP_X_CLUSTER_CLIENT_IP');
foreach($fields as $f)
{
$tries = $_SERVER[$f];
if (empty($tries))
continue;
$tries = explode(',',$tries);
foreach($tries as $try)
{
$r = filter_var($try,
FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE);
if ($r !== false)
{
return $try;
}
}
}
return false;
}
もう一つのクリーンな方法:
function validateIp($var_ip){
$ip = trim($var_ip);
return (!empty($ip) &&
$ip != '::1' &&
$ip != '127.0.0.1' &&
filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false)
? $ip : false;
}
function getClientIp() {
$ip = @$this->validateIp($_SERVER['HTTP_CLIENT_IP']) ?:
@$this->validateIp($_SERVER['HTTP_X_FORWARDED_FOR']) ?:
@$this->validateIp($_SERVER['HTTP_X_FORWARDED']) ?:
@$this->validateIp($_SERVER['HTTP_FORWARDED_FOR']) ?:
@$this->validateIp($_SERVER['HTTP_FORWARDED']) ?:
@$this->validateIp($_SERVER['REMOTE_ADDR']) ?:
'LOCAL OR UNKNOWN ACCESS';
return $ip;
}
Symfony の Request クラスからhttps://github.com/symfony/symfony/blob/1bd125ec4a01220878b3dbc3ec3156b073996af9/src/Symfony/Component/HttpFoundation/Request.php
const HEADER_FORWARDED = 'forwarded';
const HEADER_CLIENT_IP = 'client_ip';
const HEADER_CLIENT_HOST = 'client_host';
const HEADER_CLIENT_PROTO = 'client_proto';
const HEADER_CLIENT_PORT = 'client_port';
/**
* Names for headers that can be trusted when
* using trusted proxies.
*
* The FORWARDED header is the standard as of rfc7239.
*
* The other headers are non-standard, but widely used
* by popular reverse proxies (like Apache mod_proxy or Amazon EC2).
*/
protected static $trustedHeaders = array(
self::HEADER_FORWARDED => 'FORWARDED',
self::HEADER_CLIENT_IP => 'X_FORWARDED_FOR',
self::HEADER_CLIENT_HOST => 'X_FORWARDED_HOST',
self::HEADER_CLIENT_PROTO => 'X_FORWARDED_PROTO',
self::HEADER_CLIENT_PORT => 'X_FORWARDED_PORT',
);
/**
* Returns the client IP addresses.
*
* In the returned array the most trusted IP address is first, and the
* least trusted one last. The "real" client IP address is the last one,
* but this is also the least trusted one. Trusted proxies are stripped.
*
* Use this method carefully; you should use getClientIp() instead.
*
* @return array The client IP addresses
*
* @see getClientIp()
*/
public function getClientIps()
{
$clientIps = array();
$ip = $this->server->get('REMOTE_ADDR');
if (!$this->isFromTrustedProxy()) {
return array($ip);
}
if (self::$trustedHeaders[self::HEADER_FORWARDED] && $this->headers->has(self::$trustedHeaders[self::HEADER_FORWARDED])) {
$forwardedHeader = $this->headers->get(self::$trustedHeaders[self::HEADER_FORWARDED]);
preg_match_all('{(for)=("?\[?)([a-z0-9\.:_\-/]*)}', $forwardedHeader, $matches);
$clientIps = $matches[3];
} elseif (self::$trustedHeaders[self::HEADER_CLIENT_IP] && $this->headers->has(self::$trustedHeaders[self::HEADER_CLIENT_IP])) {
$clientIps = array_map('trim', explode(',', $this->headers->get(self::$trustedHeaders[self::HEADER_CLIENT_IP])));
}
$clientIps[] = $ip; // Complete the IP chain with the IP the request actually came from
$firstTrustedIp = null;
foreach ($clientIps as $key => $clientIp) {
// Remove port (unfortunately, it does happen)
if (preg_match('{((?:\d+\.){3}\d+)\:\d+}', $clientIp, $match)) {
$clientIps[$key] = $clientIp = $match[1];
}
if (!filter_var($clientIp, FILTER_VALIDATE_IP)) {
unset($clientIps[$key]);
}
if (IpUtils::checkIp($clientIp, self::$trustedProxies)) {
unset($clientIps[$key]);
// Fallback to this when the client IP falls into the range of trusted proxies
if (null === $firstTrustedIp) {
$firstTrustedIp = $clientIp;
}
}
}
// Now the IP chain contains only untrusted proxies and the client IP
return $clientIps ? array_reverse($clientIps) : array($firstTrustedIp);
}
あなたは自分の質問にほぼ答えました!:)
function getRealIpAddr() {
if(!empty($_SERVER['HTTP_CLIENT_IP'])) //Check IP address from shared Internet
{
$IPaddress = $_SERVER['HTTP_CLIENT_IP'];
}
elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) //To check IP address is passed from the proxy
{
$IPaddress = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
else
{
$IPaddress = $_SERVER['REMOTE_ADDR'];
}
return $IPaddress;
}
/**
* Sanitizes IPv4 address according to Ilia Alshanetsky's book
* "php|architect?s Guide to PHP Security", chapter 2, page 67.
*
* @param string $ip An IPv4 address
*/
public static function sanitizeIpAddress($ip = '')
{
if ($ip == '')
{
$rtnStr = '0.0.0.0';
}
else
{
$rtnStr = long2ip(ip2long($ip));
}
return $rtnStr;
}
//---------------------------------------------------
/**
* Returns the sanitized HTTP_X_FORWARDED_FOR server variable.
*
*/
public static function getXForwardedFor()
{
if (isset($_SERVER['HTTP_X_FORWARDED_FOR']))
{
$rtnStr = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
elseif (isset($HTTP_SERVER_VARS['HTTP_X_FORWARDED_FOR']))
{
$rtnStr = $HTTP_SERVER_VARS['HTTP_X_FORWARDED_FOR'];
}
elseif (getenv('HTTP_X_FORWARDED_FOR'))
{
$rtnStr = getenv('HTTP_X_FORWARDED_FOR');
}
else
{
$rtnStr = '';
}
// Sanitize IPv4 address (Ilia Alshanetsky):
if ($rtnStr != '')
{
$rtnStr = explode(', ', $rtnStr);
$rtnStr = self::sanitizeIpAddress($rtnStr[0]);
}
return $rtnStr;
}
//---------------------------------------------------
/**
* Returns the sanitized REMOTE_ADDR server variable.
*
*/
public static function getRemoteAddr()
{
if (isset($_SERVER['REMOTE_ADDR']))
{
$rtnStr = $_SERVER['REMOTE_ADDR'];
}
elseif (isset($HTTP_SERVER_VARS['REMOTE_ADDR']))
{
$rtnStr = $HTTP_SERVER_VARS['REMOTE_ADDR'];
}
elseif (getenv('REMOTE_ADDR'))
{
$rtnStr = getenv('REMOTE_ADDR');
}
else
{
$rtnStr = '';
}
// Sanitize IPv4 address (Ilia Alshanetsky):
if ($rtnStr != '')
{
$rtnStr = explode(', ', $rtnStr);
$rtnStr = self::sanitizeIpAddress($rtnStr[0]);
}
return $rtnStr;
}
//---------------------------------------------------
/**
* Returns the sanitized remote user and proxy IP addresses.
*
*/
public static function getIpAndProxy()
{
$xForwarded = self::getXForwardedFor();
$remoteAddr = self::getRemoteAddr();
if ($xForwarded != '')
{
$ip = $xForwarded;
$proxy = $remoteAddr;
}
else
{
$ip = $remoteAddr;
$proxy = '';
}
return array($ip, $proxy);
}