宝塔面板真实IP获取设置教程

本文深入解析了在宝塔面板环境下准确获取用户真实IP的关键原理与实操方案，直击CDN、反向代理或负载均衡导致PHP默认只能拿到代理IP的痛点；不仅详解Nginx中set_real_ip_from和real_ip_header等核心配置的正确写法与安全陷阱（如必须精确填写可信代理IP段而非盲目开放），还提供健壮的PHP多头优先级解析代码，并补充Apache环境适配要点，强调从网络层到应用层全链路的信任对齐——让你不再被伪造IP误导，真正实现风控、日志、限流等场景所需的精准IP识别。

宝塔面板本身不直接处理IP透传，真实IP能否被PHP正确获取，取决于你用的Web服务器（Nginx/Apache）是否配置了反向代理头、PHP是否信任这些头，以及应用层是否用对了获取方式。默认情况下，PHP的 $_SERVER['REMOTE_ADDR'] 拿到的是宝塔前端（比如Nginx）的连接IP，不是用户真实IP——尤其当你用了CDN、负载均衡或反向代理时。

确认你是否处于反向代理链路中

这是前提。如果你的站点直接面向用户（没开CDN、没套SLB、没自己配Nginx反代），那 $_SERVER['REMOTE_ADDR'] 就是真实IP，无需额外配置。但只要经过任何一层代理（包括宝塔自带的Nginx作为静态服务+PHP-FPM分离部署），就极大概率需要透传 X-Forwarded-For 或 X-Real-IP。

• 常见场景：开了腾讯云/阿里云CDN、用了Cloudflare、自建Nginx反代、宝塔开启“网站重定向”或“反向代理”功能
• 验证方法：在PHP里打印 print_r($_SERVER)，看是否存在 HTTP_X_FORWARDED_FOR、HTTP_X_REAL_IP、HTTP_X_FORWARDED_FOR 等字段，且值看起来像公网IP
• 注意：CDN厂商可能用不同头名，比如Cloudflare用 HTTP_CF_CONNECTING_IP，腾讯云CDN常用 HTTP_X_REAL_IP

Nginx配置需透传真实IP头

宝塔的Nginx站点配置默认不写透传逻辑，必须手动加。进入「网站」→「设置」→「配置文件」，在 location ~ \.php$ 块**外部**（通常在 server 块内）添加：

set_real_ip_from 127.0.0.1;
set_real_ip_from ::1;
real_ip_header X-Forwarded-For;
real_ip_recursive on;

这段的作用是让Nginx把 X-Forwarded-For 最左的有效IP写入 $remote_addr，后续PHP的 $_SERVER['REMOTE_ADDR'] 才会变成真实IP。关键点：

• set_real_ip_from 必须列出所有可信代理IP（如CDN回源IP段、你自己的反代服务器IP），不能只写 0.0.0.0/0，否则会被伪造
• 如果你用的是腾讯云CDN，要查其官方回源IP段，逐条加进 set_real_ip_from
• 改完记得「重载配置」，不要只点保存

PHP代码里别硬写 $_SERVER['REMOTE_ADDR']

即使Nginx配置了 real_ip，很多PHP程序（尤其老框架或自写逻辑）仍习惯直接读 $_SERVER['REMOTE_ADDR']。这在没透传时错，在透传后也可能因Nginx未生效而错。更稳妥的方式是按优先级取值：

$ip = $_SERVER['REMOTE_ADDR'] ?? '';
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} elseif (!empty($_SERVER['HTTP_X_REAL_IP'])) {
    $ip = $_SERVER['HTTP_X_REAL_IP'];
} elseif (!empty($_SERVER['HTTP_CF_CONNECTING_IP'])) {
    $ip = $_SERVER['HTTP_CF_CONNECTING_IP'];
}
// 过滤掉可能的多IP（如 X-Forwarded-For: 1.1.1.1, 2.2.2.2）
$ip = explode(',', $ip)[0];
$ip = trim($ip);

这个逻辑比单纯依赖Nginx更健壮，但前提是你的Nginx确实把头传进来了——如果Nginx没配置 proxy_set_header，HTTP_X_* 就根本不会出现在 $_SERVER 里。

Apache环境要额外加 RewriteRule 和 SetEnvIf

用Apache的用户容易忽略这点：宝塔默认Apache不解析 X-Forwarded-For。你需要在站点根目录的 .htaccess 或虚拟主机配置里加：

SetEnvIf X-Forwarded-For "^.*\..*\..*\..*" proxy-ip
RequestHeader set X-Real-IP %{REMOTE_ADDR}s env=proxy-ip
# 或启用 mod_remoteip 模块（更推荐，但需宝塔编译支持）

不过绝大多数宝塔用户用的是Nginx，Apache下真实IP问题更隐蔽，因为 mod_remoteip 默认不启用，且宝塔界面不提供图形化开关。

最常被忽略的其实是信任边界：Nginx的 set_real_ip_from 如果漏写某个CDN回源段，或者PHP代码无条件取 X-Forwarded-For 而不校验来源，攻击者就能伪造IP绕过限流或风控。真实IP不是“配一下就能有”，而是整个链路（CDN → Nginx → PHP）每一环都得对齐信任策略。

理论要掌握，实操不能落！以上关于《宝塔面板真实IP获取设置教程》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！