Какой самый точный способ получить правильный IP-адрес пользователя в PHP?

Question

Я знаю, что существует множество $ _ SERVER переменных заголовков, доступных для извлечения IP-адреса. Мне было интересно, существует ли общее согласие относительно того, как наиболее точно получить реальный IP-адрес пользователя (хорошо зная, что метод не идеален), используя указанные переменные?

Я потратил некоторое время, пытаясь найти глубокое решение, и придумал следующий код, основанный на нескольких источниках. Я был бы рад, если бы кто-нибудь мог просочиться в ответ или пролить свет на что-то более точное.

редактирование включает в себя оптимизацию от @ Alix

 /**
  * Retrieves the best guess of the client's actual IP address.
  * Takes into account numerous HTTP proxy headers due to variations
  * in how different ISPs handle IP addresses in headers between hops.
  */
 public function get_ip_address() {
  // Check for shared internet/ISP IP
  if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
   return $_SERVER['HTTP_CLIENT_IP'];

  // Check for IPs passing through proxies
  if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
   // Check if multiple IP addresses exist in var
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    foreach ($iplist as $ip) {
     if ($this->validate_ip($ip))
      return $ip;
    }
   }
  }
  if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
   return $_SERVER['HTTP_X_FORWARDED'];
  if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
   return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
  if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
   return $_SERVER['HTTP_FORWARDED_FOR'];
  if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
   return $_SERVER['HTTP_FORWARDED'];

  // Return unreliable IP address since all else failed
  return $_SERVER['REMOTE_ADDR'];
 }

 /**
  * Ensures an IP address is both a valid IP address and does not fall within
  * a private network range.
  *
  * @access public
  * @param string $ip
  */
 public function validate_ip($ip) {
     if (filter_var($ip, FILTER_VALIDATE_IP, 
                         FILTER_FLAG_IPV4 | 
                         FILTER_FLAG_IPV6 |
                         FILTER_FLAG_NO_PRIV_RANGE | 
                         FILTER_FLAG_NO_RES_RANGE) === false)
         return false;
     self::$ip = $ip;
     return true;
 }

Слова предупреждения (обновление)

REMOTE_ADDR по-прежнему представляет собой самый надежный источник IP-адреса. Другие переменные $_SERVER, упомянутые здесь, могут быть легко подделаны удаленным клиентом. Цель этого решения - попытаться определить IP-адрес клиента, сидящего за прокси-сервером. В общих целях вы можете рассмотреть возможность использования этого в сочетании с IP-адресом, возвращенным непосредственно из $_SERVER['REMOTE_ADDR'], и сохранения обоих.

Для 99,9% пользователей это решение идеально подойдет вашим потребностям. Оно не защитит вас от 0,1% злонамеренных пользователей, которые хотят злоупотребить вашей системой, введя собственные заголовки запросов. Если вы полагаетесь на IP-адреса для чего-то критически важного, прибегните к REMOTE_ADDR и не беспокойтесь о тех, кто стоит за прокси.

Answer 1

Вот более короткий и понятный способ получить IP-адрес:

function get_ip_address(){
    foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key){
        if (array_key_exists($key, $_SERVER) === true){
            foreach (explode(',', $_SERVER[$key]) as $ip){
                $ip = trim($ip); // just to be safe

                if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false){
                    return $ip;
                }
            }
        }
    }
}

Надеюсь, это поможет!

---

Ваш код, кажется, уже достаточно завершен, я не вижу в нем возможных ошибок (кроме обычных предупреждений IP), я бы изменил функцию validate_ip(), чтобы полагаться на расширение фильтра:

public function validate_ip($ip)
{
    if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) === false)
    {
        return false;
    }

    self::$ip = sprintf('%u', ip2long($ip)); // you seem to want this

    return true;
}

Также ваш код HTTP_X_FORWARDED_FOR можно упростить из этого:

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    // check if multiple ips exist in var
    if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false)
    {
        $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);

        foreach ($iplist as $ip)
        {
            if ($this->validate_ip($ip))
                return $ip;
        }
    }

    else
    {
        if ($this->validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
            return $_SERVER['HTTP_X_FORWARDED_FOR'];
    }
}

К этому:

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);

    foreach ($iplist as $ip)
    {
        if ($this->validate_ip($ip))
            return $ip;
    }
}

Возможно, вы также захотите проверить адреса IPv6.

Answer 2

Однако даже тогда получение реального IP-адреса пользователя будет ненадежным.Все, что им нужно сделать, это использовать анонимный прокси-сервер (тот, который не учитывает заголовки для http_x_forwarded_for, http_forwarded и т. Д.), И все, что вы получаете, - это IP-адрес их прокси-сервера.

Затем вы можете увидеть, есть лиэто список IP-адресов прокси-серверов, которые являются анонимными, но нельзя быть уверенным, что они также точны на 100%, и самое большее, что они могут сделать, это сообщить вам, что это прокси-сервер.И если кто-то умен, он может подделать заголовки для пересылки HTTP.

Скажем, мне не нравится местный колледж.Я выясняю, какие IP-адреса они зарегистрировали, и блокирую их IP-адреса на вашем сайте, делая плохие вещи, потому что я выясняю, что вы соблюдаете правила HTTP.Список бесконечен.

Далее, как вы уже догадались, есть внутренние IP-адреса, такие как сеть колледжа, которую я упоминал ранее.Многие используют формат 10.xxx.Таким образом, все, что вы знаете, это то, что он был переадресован для общей сети.

Тогда я не стану в это углубляться, но динамические IP-адреса больше не нужны для широкополосной связи.Так.Даже если вы получите IP-адрес пользователя, ожидайте, что он изменится через 2-3 месяца, самое большее.

Answer 3

Мы используем:

/**
 * Get the customer's IP address.
 *
 * @return string
 */
public function getIpAddress() {
    if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
        return $_SERVER['HTTP_CLIENT_IP'];
    } else if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $ips = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        return trim($ips[count($ips) - 1]);
    } else {
        return $_SERVER['REMOTE_ADDR'];
    }
}

Взрыв HTTP_X_FORWARDED_FOR из-за странных проблем, с которыми мы столкнулись при обнаружении IP-адресов при использовании Squid .

Answer 4

Мой ответ, по сути, является просто отшлифованной, полностью проверенной и полностью упакованной версией ответа @ AlixAxel:

<?php

/* Get the 'best known' client IP. */

if (!function_exists('getClientIP'))
    {
        function getClientIP()
            {
                if (isset($_SERVER["HTTP_CF_CONNECTING_IP"])) 
                    {
                        $_SERVER['REMOTE_ADDR'] = $_SERVER["HTTP_CF_CONNECTING_IP"];
                    };

                foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key)
                    {
                        if (array_key_exists($key, $_SERVER)) 
                            {
                                foreach (explode(',', $_SERVER[$key]) as $ip)
                                    {
                                        $ip = trim($ip);

                                        if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false)
                                            {
                                                return $ip;
                                            };
                                    };
                            };
                    };

                return false;
            };
    };

$best_known_ip = getClientIP();

if(!empty($best_known_ip))
    {
        $ip = $clients_ip = $client_ip = $client_IP = $best_known_ip;
    }
else
    {
        $ip = $clients_ip = $client_ip = $client_IP = $best_known_ip = '';
    };

?>

Изменения:

• Упрощает имя функции (с использованием стиля форматирования 'camelCase').

• Включает проверку, чтобы убедиться, что функция еще не объявлена ​​в другой части вашего кода.

• Учитывает совместимость CloudFlare.

• Инициализирует несколько «связанных с IP» имен переменных к возвращаемому значению функции getClientIP.

• Это гарантирует, что если функция не возвращает действительный IP-адрес, все переменные будут установлены в пустую строку вместо null.

• Это всего лишь (45) строк кода.

Answer 5

Самый большой вопрос для чего?

Ваш код почти настолько же полон, насколько это возможно - но я вижу, что если вы заметите то, что выглядит как добавленный заголовок прокси, вы используете этот INSTEAD из CLIENT_IP, однако, если вы хотите, чтобы эта информация использовалась в целях аудита, тогда будьте предупреждены - его очень легко подделать.

Конечно, вы никогда не должны использовать IP-адреса для какой-либо аутентификации - даже они могут быть подделаны.

Вы могли бы лучше измерить IP-адрес клиента, выдвинув flash или java-апплет, который подключается к серверу через порт, отличный от http (что, следовательно, выявляет прозрачные прокси-серверы или случаи, когда прокси-заголовки внедряются false - но имейте в виду, что если клиент может подключиться ТОЛЬКО через веб-прокси или исходящий порт заблокирован, соединение с апплетом не будет.

С

Answer 6

Как кто-то сказал ранее, ключ здесь заключается в том, по какой причине вы хотите хранить ips пользователя.

Я приведу пример из системы регистрации, над которой я работаю, и, конечно, решение только для того, чтобы внести свой вклад в это старое обсуждение, которое часто встречается в моих поисках.

Многие регистрационные библиотеки php используют ip для ограничения / блокировки неудачных попыток на основе ip пользователя. Рассмотрим эту таблицу:

-- mysql
DROP TABLE IF EXISTS `attempts`;
CREATE TABLE `attempts` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `ip` varchar(39) NOT NULL, /*<<=====*/
  `expiredate` datetime NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
 -- sqlite
...

Затем, когда пользователь пытается выполнить вход или что-либо, связанное с обслуживанием, например сброс пароля, при запуске вызывается функция:

public function isBlocked() {
      /*
       * used one of the above methods to capture user's ip!!!
       */
      $ip = $this->ip;
      // delete attempts from this ip with 'expiredate' in the past
      $this->deleteAttempts($ip, false);
      $query = $this->dbh->prepare("SELECT count(*) FROM {$this->token->get('table_attempts')} WHERE ip = ?");
      $query->execute(array($ip));
      $attempts = $query->fetchColumn();
      if ($attempts < intval($this->token->get('attempts_before_verify'))) {
         return "allow";
      }
      if ($attempts < intval($this->token->get('attempts_before_ban'))) {
         return "captcha";
      }
      return "block";
   }

Скажем, например, $this->token->get('attempts_before_ban') === 10 и 2 пользователя приходят с теми же ips, что и в предыдущих кодах , где заголовки могут быть подделаны , затем после 5 попыток каждая забанит оба ! Хуже того, если все они приходят с одного и того же прокси-сервера, в него будут зарегистрированы только первые 10 пользователей, а все остальные будут забанены!

Критическим здесь является то, что нам нужен уникальный индекс для таблицы attempts, и мы можем получить его из такой комбинации, как:

 `ip` varchar(39) NOT NULL,
 `jwt_load varchar(100) NOT NULL

, где jwt_load взято из файла cookie http, следующего за технологией json web , где мы храним только полезную нагрузку зашифрованную , которая должна содержать произвольный / уникальное значение для каждого пользователя. Конечно, запрос должен быть изменен на: "SELECT count(*) FROM {$this->token->get('table_attempts')} WHERE ip = ? AND jwt_load = ?", и класс также должен инициировать private $jwt.

Answer 7

Я придумал эту функцию, которая не просто возвращает IP-адрес, но и массив с IP-информацией.

// Example usage:
$info = ip_info();
if ( $info->proxy ) {
    echo 'Your IP is ' . $info->ip;
} else {
    echo 'Your IP is ' . $info->ip . ' and your proxy is ' . $info->proxy_ip;
}

Вот функция:

/**
 * Retrieves the best guess of the client's actual IP address.
 * Takes into account numerous HTTP proxy headers due to variations
 * in how different ISPs handle IP addresses in headers between hops.
 *
 * @since 1.1.3
 *
 * @return object {
 *         IP Address details
 *
 *         string $ip The users IP address (might be spoofed, if $proxy is true)
 *         bool $proxy True, if a proxy was detected
 *         string $proxy_id The proxy-server IP address
 * }
 */
function ip_info() {
    $result = (object) array(
        'ip' => $_SERVER['REMOTE_ADDR'],
        'proxy' => false,
        'proxy_ip' => '',
    );

    /*
     * This code tries to bypass a proxy and get the actual IP address of
     * the visitor behind the proxy.
     * Warning: These values might be spoofed!
     */
    $ip_fields = array(
        'HTTP_CLIENT_IP',
        'HTTP_X_FORWARDED_FOR',
        'HTTP_X_FORWARDED',
        'HTTP_X_CLUSTER_CLIENT_IP',
        'HTTP_FORWARDED_FOR',
        'HTTP_FORWARDED',
        'REMOTE_ADDR',
    );
    foreach ( $ip_fields as $key ) {
        if ( array_key_exists( $key, $_SERVER ) === true ) {
            foreach ( explode( ',', $_SERVER[$key] ) as $ip ) {
                $ip = trim( $ip );

                if ( filter_var( $ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE ) !== false ) {
                    $forwarded = $ip;
                    break 2;
                }
            }
        }
    }

    // If we found a different IP address then REMOTE_ADDR then it's a proxy!
    if ( $forwarded != $result->ip ) {
        $result->proxy = true;
        $result->proxy_ip = $result->ip;
        $result->ip = $forwarded;
    }

    return $result;
}

Answer 8

Я понимаю, что есть намного лучшие и более краткие ответы выше, и это не функция и не самый изящный сценарий. В нашем случае нам нужно было вывести как поддельный x_forwarded_for, так и более надежный remote_addr в упрощенном ключе. Нужно было разрешить вводить пробелы в другие функции if-none или if-singular (а не просто возвращать предварительно отформатированную функцию). Требовалась переменная «вкл. Или выкл.» С настраиваемой меткой (ами) для каждого переключателя для настроек платформы. Также необходимо, чтобы $ ip был динамическим в зависимости от запроса, чтобы он принимал форму forwarded_for.

Также я не видел никого из адресов isset () vs! Empty () - можно ничего не вводить для x_forwarded_for, но все еще вызывать истину isset (), приводящую к пустому var, способ обойти это использовать && и объединить оба как условия. Имейте в виду, что вы можете подделать такие слова, как «PWNED», как x_forwarded_for, поэтому убедитесь, что вы стерилизуетесь с реальным синтаксисом ip, если ваш вывод где-то защищен или в БД.

Также вы можете протестировать с помощью Google Translate, если вам нужен мульти-прокси, чтобы увидеть массив в x_forwarder_for. Если вы хотите проверить поддельные заголовки, проверьте это расширение Chrome Client Header Spoof . По умолчанию будет использоваться только стандартный remote_addr, находящийся за прокси-сервером.

Я не знаю ни одного случая, когда remote_addr может быть пустым, но на всякий случай его можно использовать как запасной вариант.

// proxybuster - attempts to un-hide originating IP if [reverse]proxy provides methods to do so
  $enableProxyBust = true;

if (($enableProxyBust == true) && (isset($_SERVER['REMOTE_ADDR'])) && (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) && (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))) {
    $ip = end(array_values(array_filter(explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']))));
    $ipProxy = $_SERVER['REMOTE_ADDR'];
    $ipProxy_label = ' behind proxy ';
} elseif (($enableProxyBust == true) && (isset($_SERVER['REMOTE_ADDR']))) {
    $ip = $_SERVER['REMOTE_ADDR'];
    $ipProxy = '';
    $ipProxy_label = ' no proxy ';
} elseif (($enableProxyBust == false) && (isset($_SERVER['REMOTE_ADDR']))) {
    $ip = $_SERVER['REMOTE_ADDR'];
    $ipProxy = '';
    $ipProxy_label = '';
} else {
    $ip = '';
    $ipProxy = '';
    $ipProxy_label = '';
}

Чтобы сделать их динамическими для использования в функциях (функциях) или запросах / эхо / представлениях ниже, скажем, для регистрации событий или сообщений об ошибках, используйте глобальные переменные или просто выводите их в любом месте, где вы хотите, не создавая кучу других условий или статических функции вывода схемы.

function fooNow() {
    global $ip, $ipProxy, $ipProxy_label;
    // begin this actions such as log, error, query, or report
}

Спасибо за все ваши великие мысли. Пожалуйста, дайте мне знать, если это могло бы быть лучше, все еще немного нового для этих заголовков:)

Answer 9

Просто VB.NET версия ответа:

Private Function GetRequestIpAddress() As IPAddress
    Dim serverVariables = HttpContext.Current.Request.ServerVariables
    Dim headersKeysToCheck = {"HTTP_CLIENT_IP", _
                              "HTTP_X_FORWARDED_FOR", _
                              "HTTP_X_FORWARDED", _
                              "HTTP_X_CLUSTER_CLIENT_IP", _
                              "HTTP_FORWARDED_FOR", _
                              "HTTP_FORWARDED", _
                              "REMOTE_ADDR"}
    For Each thisHeaderKey In headersKeysToCheck
        Dim thisValue = serverVariables.Item(thisHeaderKey)
        If thisValue IsNot Nothing Then
            Dim validAddress As IPAddress = Nothing
            If IPAddress.TryParse(thisValue, validAddress) Then
                Return validAddress
            End If
        End If
    Next
    Return Nothing
End Function

Answer 10

Из класса запросов Symfony https://github.com/symfony/symfony/blob/1bd125ec4a01220878b3dbc3ec3156b073996af9/src/Symfony/Component/HttpFoundation/Request.php

const HEADER_FORWARDED = 'forwarded';
const HEADER_CLIENT_IP = 'client_ip';
const HEADER_CLIENT_HOST = 'client_host';
const HEADER_CLIENT_PROTO = 'client_proto';
const HEADER_CLIENT_PORT = 'client_port';

/**
 * Names for headers that can be trusted when
 * using trusted proxies.
 *
 * The FORWARDED header is the standard as of rfc7239.
 *
 * The other headers are non-standard, but widely used
 * by popular reverse proxies (like Apache mod_proxy or Amazon EC2).
 */
protected static $trustedHeaders = array(
    self::HEADER_FORWARDED => 'FORWARDED',
    self::HEADER_CLIENT_IP => 'X_FORWARDED_FOR',
    self::HEADER_CLIENT_HOST => 'X_FORWARDED_HOST',
    self::HEADER_CLIENT_PROTO => 'X_FORWARDED_PROTO',
    self::HEADER_CLIENT_PORT => 'X_FORWARDED_PORT',
);

/**
 * Returns the client IP addresses.
 *
 * In the returned array the most trusted IP address is first, and the
 * least trusted one last. The "real" client IP address is the last one,
 * but this is also the least trusted one. Trusted proxies are stripped.
 *
 * Use this method carefully; you should use getClientIp() instead.
 *
 * @return array The client IP addresses
 *
 * @see getClientIp()
 */
public function getClientIps()
{
    $clientIps = array();
    $ip = $this->server->get('REMOTE_ADDR');
    if (!$this->isFromTrustedProxy()) {
        return array($ip);
    }
    if (self::$trustedHeaders[self::HEADER_FORWARDED] && $this->headers->has(self::$trustedHeaders[self::HEADER_FORWARDED])) {
        $forwardedHeader = $this->headers->get(self::$trustedHeaders[self::HEADER_FORWARDED]);
        preg_match_all('{(for)=("?\[?)([a-z0-9\.:_\-/]*)}', $forwardedHeader, $matches);
        $clientIps = $matches[3];
    } elseif (self::$trustedHeaders[self::HEADER_CLIENT_IP] && $this->headers->has(self::$trustedHeaders[self::HEADER_CLIENT_IP])) {
        $clientIps = array_map('trim', explode(',', $this->headers->get(self::$trustedHeaders[self::HEADER_CLIENT_IP])));
    }
    $clientIps[] = $ip; // Complete the IP chain with the IP the request actually came from
    $firstTrustedIp = null;
    foreach ($clientIps as $key => $clientIp) {
        // Remove port (unfortunately, it does happen)
        if (preg_match('{((?:\d+\.){3}\d+)\:\d+}', $clientIp, $match)) {
            $clientIps[$key] = $clientIp = $match[1];
        }
        if (!filter_var($clientIp, FILTER_VALIDATE_IP)) {
            unset($clientIps[$key]);
        }
        if (IpUtils::checkIp($clientIp, self::$trustedProxies)) {
            unset($clientIps[$key]);
            // Fallback to this when the client IP falls into the range of trusted proxies
            if (null ===  $firstTrustedIp) {
                $firstTrustedIp = $clientIp;
            }
        }
    }
    // Now the IP chain contains only untrusted proxies and the client IP
    return $clientIps ? array_reverse($clientIps) : array($firstTrustedIp);
}