PHP获取真实IP方法【定位技巧】

在Web开发中，PHP获取用户真实客户端IP远非简单读取$_SERVER['REMOTE_ADDR']那样直接——该值仅反映直连服务器的代理或CDN节点IP，极易导致地理位置错位、风控失效等严重问题；真正可靠的做法是结合可信代理白名单，安全解析X-Forwarded-For、X-Real-IP或CDN专用头（如CF-Connecting-IP），并严格过滤私有地址与无效格式，核心难点不在技术实现，而在于建立可验证的信任链：没有代理来源校验的IP读取，本质上与前端随意伪造的参数毫无区别。

PHP 里 $_SERVER['REMOTE_ADDR'] 大多数时候不是用户真实 IP，而是代理或 CDN 的出口 IP；真要拿到用户原始 IP，得看请求头，但必须校验来源可信度，否则极易被伪造。

为什么 $_SERVER['REMOTE_ADDR'] 不可靠

它只反映与当前 PHP 进程直接建立 TCP 连接的客户端地址。如果用户经过 Nginx、CDN、负载均衡或反向代理（比如 Cloudflare、阿里云 SLB），这里拿到的就是那个中间节点的 IP，不是用户手机或电脑的真实出口 IP。

常见错误现象：$_SERVER['REMOTE_ADDR'] 总是固定几个内网或公有云段地址（如 10.0.0.x、172.16.x.x、192.168.x.x 或 104.28.x.x），和用户地理位置完全对不上。

使用场景：仅适用于无任何代理的直连环境（比如本地开发、内网服务）；生产环境几乎不可用。

X-Forwarded-For 和 X-Real-IP 怎么安全读取

这两个是事实标准的代理传递头，但它们可以被任意 HTTP 客户端伪造——所以不能无条件信任，必须结合「可信代理列表」判断哪些请求头是可信的。

实操建议：

• 只从你明确控制的上一级代理（比如你自己的 Nginx）设置的头中取值，例如 Nginx 配置了 proxy_set_header X-Real-IP $remote_addr;，那 $_SERVER['HTTP_X_REAL_IP'] 才可信
• 如果用了多层代理（如 CDN → Nginx → PHP），X-Forwarded-For 是逗号分隔的 IP 链，最右边是发起方，最左边是第一跳代理；但只有「紧邻你的那一跳」的 IP 是可信的，其余全可伪造
• 务必配置「可信代理 IP 段」，例如：['127.0.0.1', '10.0.0.0/8', '172.16.0.0/12']，只在这些来源的请求里才解析 X-Forwarded-For

示例（简单但带校验）：

$trustedProxies = ['127.0.0.1', '10.10.0.0/16'];
$clientIp = $_SERVER['REMOTE_ADDR'];

if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && in_array($_SERVER['REMOTE_ADDR'], $trustedProxies)) {
    $ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
    $clientIp = $ips[0]; // 取链中最左（即最靠近用户的）一个，前提是整条链来自可信代理
}

Cloudflare、阿里云、腾讯云等 CDN 下怎么拿真实 IP

各家 CDN 会覆盖或添加特定头，且默认不透传原始 IP 到源站，需主动开启或依赖其可信头。

关键点：

• Cloudflare：启用「IP Geolocation」后，会加 CF-Connecting-IP 头；它不可伪造，只要确保请求确实来自 Cloudflare（校验 $_SERVER['HTTP_CF_CONNECTING_IP'] 存在 + 请求来源 IP 在 Cloudflare 官方 IP 段内）
• 阿里云 SLB / 腾讯云 CLB：通常用 X-Real-IP 或 X-Forwarded-For，但必须在控制台开启「透传客户端源 IP」功能，否则这些头压根不会出现
• 所有 CDN 场景下，$_SERVER['REMOTE_ADDR'] 都是 CDN 节点 IP，绝不能直接用

验证是否生效：在 PHP 中打印 print_r($_SERVER)，搜索 CF_、X_Real、X_Forwarded 等关键词，确认对应头存在且值合理。

别忽略 IPv6 和私有地址过滤

真实用户可能走 IPv6，而很多老代码只处理 IPv4；同时，即使拿到 IP，也可能是个私有地址（如 127.0.0.1、::1、fd00::/8），说明代理配置出错或请求根本没过公网。

实操建议：

• 用 filter_var($ip, FILTER_VALIDATE_IP) 校验格式，再用 FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE 排除私有和保留地址
• IPv6 地址在 X-Forwarded-For 中可能带方括号（如 [2001:db8::1]），需先 trim($ip, '[]')
• 不要假设 IP 一定是字符串——某些 SAPI（如 PHP-FPM 配合 FastCGI）可能让 $_SERVER 中的头变成小写键名（http_x_forwarded_for），注意兼容

真正难的不是“怎么取”，而是“怎么信”：每多一层代理，就多一分伪造风险；没有可信链路的头，和前端 JS 里随便写的 fetch('/api?ip=1.2.3.4') 没区别。别省掉代理白名单校验这一步，它比写十行 IP 解析逻辑都重要。

终于介绍完啦！小伙伴们，这篇关于《PHP获取真实IP方法【定位技巧】》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！