PHP获取真实客户端IP的几种方法

IT行业相对于一般传统行业，发展更新速度更快，一旦停止了学习，很快就会被行业所淘汰。所以我们需要踏踏实实的不断学习，精进自己的技术，尤其是初学者。今天golang学习网给大家整理了《PHP获取客户端IP的实用方法》，聊聊，我们一起来看看吧！

直接使用$\_SERVER['REMOTE\_ADDR']可能不准确，因为客户端请求常经过负载均衡器、CDN或代理服务器，此时该值仅为中介设备的IP而非真实客户端IP；2. 为相对准确获取客户端IP，应优先检查HTTP\_X\_FORWARDED\_FOR、HTTP\_CLIENT\_IP等代理头，结合filter\_var进行IP格式和私有范围验证，并按信任链顺序取值；3. 防止IP伪造需验证IP有效性、排除私有和保留地址、建立信任链（如确认REMOTE\_ADDR属于已知可信代理），并对关键业务结合日志交叉验证；4. IPv6环境下IP获取逻辑基本一致，filter\_var支持IPv6验证，需注意其私有地址范围（如fc00::/7）并在双栈环境中兼容处理IPv4和IPv6；5. 在复杂拓扑中还需考虑X-Real-IP等补充头字段，根据实际架构调整优先级，始终以网络信任链为基础谨慎判断客户端IP。

PHP获取客户端IP地址，核心在于利用$_SERVER这个超全局变量。但说实话，这事儿比你想象的要复杂一点点，因为客户端和你的服务器之间，可能隔着不止一个代理。所以，简单的$_SERVER['REMOTE_ADDR']往往不够用，我们需要更精细的判断。

解决方案

要相对准确地获取客户端IP地址，你需要一套组合拳，优先检查那些可能被代理服务器设置的HTTP头，最后才回退到直接连接的IP。

为什么直接使用 $_SERVER['REMOTE_ADDR'] 可能不准确？

说起来，$_SERVER['REMOTE_ADDR'] 是PHP获取客户端IP最直接的方式，它代表的是“与你服务器直接建立TCP连接的那个设备的IP地址”。但问题是，现在互联网环境复杂，很少有客户端会直接连接到你的Web服务器。

通常，在客户端和你的服务器之间，会经过至少一层甚至多层“中介”：

• 负载均衡器 (Load Balancers): 比如Nginx、HAProxy，或者云服务商提供的ELB、ALB。它们接收用户的请求，再转发给后端的Web服务器。此时，REMOTE_ADDR 显示的就是负载均衡器的IP。
• CDN (Content Delivery Networks): 像Cloudflare、Akamai、腾讯云CDN、阿里云CDN等。它们缓存你的内容，用户访问时先连接CDN节点。同样，REMOTE_ADDR 会是CDN节点的IP。
• 正向代理 (Forward Proxies): 用户可能通过公司内部网络、VPN或某些加速器上网，这些代理服务器会隐藏用户的真实IP。
• Web应用防火墙 (WAF): 很多安全服务也会作为请求的入口，过滤恶意流量。

这些“中介”为了把真实客户端的IP信息传递给后端服务器，通常会在HTTP请求头中添加一些自定义字段，最常见的就是 X-Forwarded-For。所以，如果只看 REMOTE_ADDR，你可能看到的是一堆CDN节点或者负载均衡器的IP，而不是你真正想知道的用户IP。

如何确保获取到的 IP 地址是有效的且防止伪造？

获取IP地址这事儿，坦白讲，从客户端发来的信息总归是不可完全信任的。特别是像 X-Forwarded-For 这样的HTTP头，客户端理论上是可以随意伪造的。这意味着，如果你仅仅依赖这些头来做安全判断（比如IP黑名单、访问频率限制），那很容易被绕过。

为了确保获取到的IP地址“相对有效”，我们可以做几件事：

1. IP格式验证： 使用 filter_var($ip, FILTER_VALIDATE_IP) 是最基本的。它能帮你过滤掉那些根本不是IP地址格式的字符串，或者一些明显错误的IP。进一步，你可以加上 FILTER_FLAG_NO_PRIV_RANGE 和 FILTER_FLAG_NO_RES_RANGE 来排除私有IP地址（例如192.168.x.x, 10.x.x.x等）和保留地址，这在判断“外部真实IP”时很有用。

2. 信任链管理： 如果你的服务架构是明确的（比如你知道你的Web服务器前面只有你自己的一个负载均衡器或CDN），那么你可以设定一个信任链。

   • 如果 REMOTE_ADDR 是你已知且信任的负载均衡器或CDN的IP，那么你就可以信任 X-Forwarded-For 中提供的第一个IP（或者最后一个，这取决于你的代理如何设置）。
   • 如果 REMOTE_ADDR 是一个你不知道的外部IP，那么 X-Forwarded-For 就非常可疑了，因为这个头可能被客户端随意添加。在这种情况下，你可能只能信任 REMOTE_ADDR，或者干脆认为无法获取到可信的真实IP。

3. 日志记录与交叉验证： 对于关键业务，仅仅依赖HTTP头是不够的。你的Web服务器（如Nginx、Apache）的访问日志，或者负载均衡器、CDN的日志，通常会记录它们接收到的原始 REMOTE_ADDR 和 X-Forwarded-For 等信息。这些日志是更难被篡改的，可以作为事后分析和交叉验证的依据。

说白了，防止伪造是一个持续的挑战。对于需要高度安全性的场景，IP地址只是众多验证因素之一，你可能还需要结合用户登录信息、Session管理、设备指纹等多种手段。

在 IPv6 环境下或复杂网络拓扑中，IP 获取有何不同？

IPv6的普及正在改变互联网的连接方式，但幸运的是，PHP在获取IP地址方面，对IPv4和IPv6的处理逻辑基本是透明的。无论是 $_SERVER['REMOTE_ADDR'] 还是 HTTP_X_FORWARDED_FOR，它们都会直接包含IPv6地址的字符串形式（例如 2001:0db8:85a3:0000:0000:8a2e:0370:7334）。

主要的区别在于：

1. IP地址格式： IPv6地址更长，包含冒号和十六进制数字。你的IP验证函数（如 filter_var($ip, FILTER_VALIDATE_IP)）需要能够正确识别和处理IPv6地址。好消息是，PHP的 filter_var 函数本身就支持IPv6的验证。
2. 私有地址范围： IPv6也有其私有地址范围（如 fc00::/7 用于唯一本地地址ULA），在过滤私有IP时需要考虑到这些新的范围。PHP的 FILTER_FLAG_NO_PRIV_RANGE 同样适用于IPv6。
3. 双栈环境： 很多服务器和网络设备都处于“双栈”模式，即同时支持IPv4和IPv6。这意味着客户端可能通过IPv4连接，也可能通过IPv6连接。你的IP获取逻辑需要能够处理这两种情况，而我们上面提供的方案是兼容的。
4. 复杂网络拓扑中的新头： 尽管 X-Forwarded-For 是最常见的，但随着云原生和微服务架构的流行，一些新的HTTP头也可能出现，用于传递更详细的客户端信息。例如，X-Real-IP 有时会被Nginx等代理使用，它通常只包含一个IP地址，被认为是更“真实”的IP。在一些特定的云服务中，也可能存在自定义的头部来传递客户端IP。在设计你的IP获取逻辑时，可能需要根据你的具体部署环境，考虑这些额外的HTTP头。

总的来说，在复杂网络拓扑和IPv6环境中，核心原则不变：理解你的网络架构，知道哪些是信任的代理，然后按照信任链的顺序检查HTTP头，并对获取到的IP进行严格的格式和有效性验证。对于不确定的来源，保持谨慎。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~