PHP8.4获取真实用户IP方法

学习知识要善于思考，思考，再思考！今天golang学习网小编就给大家带来《PHP8.4获取真实客户端IP方法》，以下内容主要包含等知识点，如果你正在学习或准备学习文章，就都不要错过本文啦~让我们一起来看看吧，能帮助到你就更好了！

PHP 8.4 中 $_SERVER['REMOTE_ADDR'] 不可靠，真实客户端 IP 需结合可信代理校验 X-Forwarded-For 或 Cloudflare 的 HTTP_CF_CONNECTING_IP，并严格过滤非法、私有及保留地址。

PHP 8.4 中 $_SERVER['REMOTE_ADDR'] 不可靠，别直接用

PHP 8.4 没有新增 IP 获取函数，但反向代理（如 Nginx、Cloudflare）更普及，$_SERVER['REMOTE_ADDR'] 只返回代理服务器的 IP，不是真实用户 IP。必须结合 $_SERVER['HTTP_X_FORWARDED_FOR'] 或 $_SERVER['HTTP_X_REAL_IP'] 判断，且需校验来源可信性。

只信任已知代理 IP 下的 X-Forwarded-For

攻击者可伪造 X-Forwarded-For 头，所以不能无条件取第一个值。必须先确认请求确实来自你配置的反向代理（比如 Nginx 在 10.0.0.2），再解析该头。

• 在 PHP 中硬编码可信代理列表（如 ['127.0.0.1', '10.0.0.2']），或从环境变量读取
• 用 filter_var($ip, FILTER_VALIDATE_IP) 逐段校验每个 IP，丢弃非法项
• 从 X-Forwarded-For 值中取「最右边第一个不在代理列表里的 IP」——这才是真实客户端 IP

$trustedProxies = ['127.0.0.1', '10.0.0.2'];
$clientIP = $_SERVER['REMOTE_ADDR'];
<p>if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
// 从右往左找第一个非代理 IP
for ($i = count($ips) - 1; $i >= 0; $i--) {
if (filter_var($ips[$i], FILTER_VALIDATE_IP) && !in_array($ips[$i], $trustedProxies)) {
$clientIP = $ips[$i];
break;
}
}
}</p>

Cloudflare 用户必须检查 HTTP_CF_CONNECTING_IP

如果你用 Cloudflare，它会覆盖 X-Forwarded-For 并添加自己的头。只要你的站点启用了 Cloudflare 的代理（即 DNS 橙色云），就应优先使用 $_SERVER['HTTP_CF_CONNECTING_IP']，但前提是确保请求确实来自 Cloudflare 网络。

• 验证方式：检查 $_SERVER['REMOTE_ADDR'] 是否属于 Cloudflare 的官方 IP 段（见 https://www.cloudflare.com/ips/）
• PHP 8.4 中可用 ip_in_range()（需自行实现或引入 symfony/http-foundation）做 CIDR 匹配
• 不验证就直接用 HTTP_CF_CONNECTING_IP 会导致 IP 被伪造

别忽略 IPv6 和私有地址检测

真实用户 IP 可能是 IPv6（如 2001:db8::1），也可能是局域网地址（如 192.168.1.100）。PHP 8.4 的 filter_var() 支持 IPv6 校验，但不会自动过滤私有地址——你需要自己判断是否接受内网 IP。

• 用 filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 | FILTER_FLAG_IPV6) 先确保格式合法
• 用 filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) 排除私有/保留地址（PHP 8.2+ 支持，8.4 继续有效）
• 注意：某些企业出口 NAT 后可能仍是私有 IP，业务逻辑需决定是否允许

真实场景里，IP 来源链越长（比如 CDN → WAF → Nginx → PHP），越容易被污染；可信代理名单漏写一个，或者没做 IP 格式校验，$clientIP 就可能变成攻击者控制的任意字符串。

本篇关于《PHP8.4获取真实用户IP方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！