PHP获取用户真实IP地址方法大全

在PHP开发中准确获取用户真实IP地址是识别访问者网络位置的关键环节，但因代理、CDN和负载均衡的普遍存在，单纯依赖$_SERVER['REMOTE_ADDR']极易失真；本文系统梳理了从基础直连到复杂多层代理场景下的五种可靠方案——涵盖优先级校验HTTP_X_REAL_IP与HTTP_X_FORWARDED_FOR、严格过滤私有地址和非法IP、兼容CGI环境的getenv()兜底策略，并强调安全验证与部署配置（如Nginx real_ip设置）的协同重要性，助开发者一键落地健壮、安全、跨环境的IP识别逻辑。

如果您在PHP开发中需要识别访问者的网络位置，获取用户IP地址是常见需求。以下是多种可靠的方法来提取客户端真实IP地址。

一、使用$_SERVER['REMOTE_ADDR']获取基础IP

该变量直接返回与Web服务器建立TCP连接的客户端IP，适用于未经过代理或负载均衡的直连场景，是最基础的IP来源。

1、在PHP脚本中直接调用$_SERVER['REMOTE_ADDR']变量。

2、将该值赋给一个变量，例如：$ip = $_SERVER['REMOTE_ADDR'];。

3、输出或记录该变量值，如echo $ip;。

二、检查HTTP_X_FORWARDED_FOR头获取代理后的真实IP

当请求经过正向代理（如Nginx反向代理、CDN或企业防火墙）时，原始IP通常被写入HTTP_X_FORWARDED_FOR请求头，其值可能为逗号分隔的IP列表，最左侧为用户真实IP。

1、检查$_SERVER数组中是否存在'HTTP_X_FORWARDED_FOR'键。

2、若存在，使用explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'])分割字符串。

3、取分割后数组的第一个元素，并用trim()去除首尾空格，注意需校验该IP格式合法性，防止伪造。

三、检查HTTP_X_REAL_IP头获取Nginx透传IP

Nginx等反向代理服务器常通过X-Real-IP头将原始客户端IP传递给后端PHP应用，该头一般只包含单个IP，可信度高于X-Forwarded-For（前提是Nginx配置了正确的set_real_ip_from和real_ip_header指令）。

1、判断$_SERVER中是否含有'HTTP_X_REAL_IP'键。

2、若存在，直接读取其值并赋给IP变量。

3、必须确保该头仅由可信代理设置，禁止客户端直接提交该头。

四、组合多个来源进行IP判定

为兼顾不同部署环境（直连、单层代理、多层CDN），可按优先级顺序检查多个来源，并对每个候选IP执行基本验证，避免使用无效或私有地址。

1、定义IP候选数组，顺序为：HTTP_X_REAL_IP → HTTP_X_FORWARDED_FOR首个IP → REMOTE_ADDR。

2、遍历该数组，对每个候选值调用filter_var($ip, FILTER_VALIDATE_IP)验证是否为合法IPv4/IPv6地址。

3、排除127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、::1、fe80::/10等私有地址段，仅保留公网可路由IP作为最终结果。

五、使用getenv()兼容CGI/SAPI差异

在部分CGI或FastCGI运行模式下，某些$_SERVER键可能不可用，getenv()函数可作为备用方式读取环境变量，尤其适用于HTTP头字段的获取。

1、尝试使用getenv('HTTP_X_FORWARDED_FOR')替代$_SERVER['HTTP_X_FORWARDED_FOR']。

2、同样处理getenv('HTTP_X_REAL_IP')和getenv('REMOTE_ADDR')。

3、需注意getenv()在某些PHP配置（如variables_order不含E）下可能返回false，应配合isset()或empty()判断。

本篇关于《PHP获取用户真实IP地址方法大全》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！