ThinkPHP获取本机IP方法详解

ThinkPHP 6 中 `request()->ip()` 常返回 `127.0.0.1` 或内网 IP，根本原因在于框架默认仅信任 `REMOTE_ADDR`，而反向代理（如 Nginx）会将真实客户端 IP 放在 `X-Forwarded-For` 或 `X-Real-IP` 头中——只有正确配置 `trust_proxies` 并确保代理服务器 IP 落入可信范围，TP 才会安全地解析这些头；本文深入剖析了代理环境下的 IP 获取原理、常见配置陷阱、多级代理处理、伪造防护策略，并对比了 TP5.1 与 TP6 的关键差异，还提供了生产可用的安全获取真实公网 IP 的封装方案，帮你彻底告别“IP 总是 127.0.0.1”的线上困扰。

ThinkPHP 6 中 request()->ip() 返回 127.0.0.1 或内网 IP 怎么办

直接原因：TP6 默认只从 REMOTE_ADDR 取 IP，而 Nginx/Apache 反向代理后，真实客户端 IP 被写入 X-Forwarded-For 或 X-Real-IP，但框架未自动信任这些头字段。

解决前提是明确部署环境是否启用反向代理（如 Nginx → PHP-FPM）：

• 没用反代（PHP 直连公网）→ request()->ip() 通常正确
• 用了反代（常见于宝塔、Docker、云服务器 Nginx 配置）→ 必须手动配置可信代理 IP 段

在 config/app.php 中添加或修改：

'trust_proxies' => ['127.0.0.1', '192.168.0.0/16', '10.0.0.0/8'],

注意：trust_proxies 是数组，支持 CIDR 写法；若用宝塔，Nginx 的 proxy_set_header X-Real-IP $remote_addr; 必须存在，且 PHP 所在机器 IP 必须落在该数组中，否则 TP 会忽略所有代理头。

为什么 $_SERVER['REMOTE_ADDR'] 和 request()->ip() 结果不一致

根本区别在于数据来源和处理逻辑：

• $_SERVER['REMOTE_ADDR'] 是 CGI 协议层原始值，由 Web 服务器（如 Nginx）直接设置，不受 PHP 代码影响
• request()->ip() 是 ThinkPHP 封装方法，内部按顺序检查：X-Forwarded-For → X-Real-IP → REMOTE_ADDR，但**仅当客户端 IP 属于 trust_proxies 列表时，才接受前两个头**

典型错误场景：

• Nginx 配了 X-Real-IP，但 trust_proxies 没包含 Nginx 所在 IP → TP 强制回退到 REMOTE_ADDR（即 127.0.0.1）
• 多级代理（如 CDN + Nginx），X-Forwarded-For 有多个 IP，TP 默认取第一个，但若首段不可信，需配合 trust_proxies 向前跳过

获取“真正用户公网 IP”的安全写法（防伪造）

不能无条件信任 X-Forwarded-For，因为客户端可伪造该 Header。可靠做法是：只信任你控制的上一级代理所附加的值。

推荐封装一个辅助函数（放在 app/common/Helper.php）：

function get_client_ip(): string
{
    $request = \think\Request::instance();
    // 强制走 TP 的 IP 解析逻辑，但确保 trust_proxies 已配好
    $ip = $request->ip();
    // 补充校验：排除私有地址和保留地址
    if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
        $ip = '0.0.0.0';
    }
    return $ip;
}

关键点：

• 不要自己 parse X-Forwarded-For 字符串 —— TP 已处理好层级和信任链
• FILTER_FLAG_NO_PRIV_RANGE 排除 10.x、172.16–31.x、192.168.x 等内网段
• FILTER_FLAG_NO_RES_RANGE 排除 0.0.0.0、127.0.0.0/8、169.254.0.0/16 等保留地址

ThinkPHP 5.1 和 6.x 在 IP 获取上的主要差异

TP5.1 没有 trust_proxies 配置项，其 request()->ip() 默认信任所有代理头，存在被伪造风险；TP6 引入该配置后更安全，但也更“严格”。

迁移注意事项：

• TP5.1 升级到 TP6，必须补全 trust_proxies 配置，否则线上 IP 全变 127.0.0.1
• TP6 中 request()->ip(true) 表示“返回真实 IP（跳过代理头）”，等价于直接读 $_SERVER['REMOTE_ADDR']，慎用
• TP6.3+ 支持 request()->realIP() 方法，功能同 ip() 但语义更明确，建议新项目使用

最易被忽略的一点：本地开发用 php think run 时，没有 Nginx，trust_proxies 应设为空数组或注释掉，否则可能干扰调试。

到这里，我们也就讲完了《ThinkPHP获取本机IP方法详解》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！