CodeIgniter获取真实IP与代理IP方法

在使用 CodeIgniter（尤其是 CI3 和 CI4）部署于代理或 CDN（如 Cloudflare、Nginx、AWS ALB）后端时，框架默认的 IP 获取方法极易返回代理内网地址而非用户真实 IP，导致日志、限流、安全风控等功能失准；本文深入剖析了问题根源——`ip_address()` 和 `getIPAddress()` 默认仅依赖不可信的 `$_SERVER['REMOTE_ADDR']`，并强调必须通过精准配置可信代理 IP 段（如 Cloudflare 官方 CIDR 或私有网络范围）来启用安全的 `X-Forwarded-For` 等头信息解析，同时警示直接读取 HTTP 头的危险性，提供符合生产环境要求的可靠实践方案。

CodeIgniter 3 默认 ip_address() 不可靠，尤其在代理/CDN 后

CI3 的 $this->input->ip_address() 默认只读 $_SERVER['REMOTE_ADDR']，而这个值在 Nginx、Cloudflare、AWS ALB、PagodaBox 等代理后，实际是代理服务器的 IP，不是用户真实 IP。它虽有简单检查 HTTP_X_FORWARDED_FOR 的逻辑，但默认被禁用——因为开启后易被伪造，框架选择保守策略。

你看到的“奇怪 IP”（比如 10.0.1.5 或 172.18.0.3）基本就是这一层代理的内网地址。

• CI3 中该行为由配置项 $config['proxy_ips'] 控制：只有当 $_SERVER['REMOTE_ADDR'] 在此列表中时，才会尝试从 HTTP_X_FORWARDED_FOR 解析真实 IP
• 必须显式配置可信代理 IP 段，否则不生效；填错或留空等于没配
• HTTP_X_FORWARDED_FOR 可被客户端随意伪造，所以绝不能无条件信任，必须结合 proxy_ips 校验链路起点是否可信

CI3 正确配置 $config['proxy_ips'] 的写法

在 application/config/config.php 中设置可信代理 IP 或 CIDR 段。不要写成单个 IP 就完事，要覆盖你实际使用的全部代理出口地址。

例如你用 Cloudflare，应填其官方公布的 IPv4/IPv6 段：

$config['proxy_ips'] = '173.245.48.0/20,103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,141.101.64.0/18,108.162.192.0/18,190.93.240.0/20,188.114.96.0/20,197.234.240.0/22,198.41.128.0/17,2400:cb00::/32,2606:4700::/32,2803:f800::/32,2405:b500::/32,2405:8100::/32,2a06:98c0::/29';

• 多个地址/段用英文逗号分隔，**不能有空格**
• 若部署在私有云或 Docker 内，常见代理 IP 是 172.16.0.0/12、192.168.0.0/16、10.0.0.0/8，按需添加
• 填错会导致 ip_address() 直接返回 0.0.0.0（CI3 的 fallback 行为）
• 改完配置后无需清缓存，但务必确认 Web 服务能读到新值（如 CLI 和 FPM 环境不一致可能引发差异）

CI4 使用 $this->request->getIPAddress() 更安全，但仍有前提

CI4 把 IP 获取逻辑移到了 Request 类，$this->request->getIPAddress() 默认已启用代理解析，但它依然依赖 app/Config/App.php 中的 $proxyIPs 配置（注意变量名和位置都变了）。

若你没改过，默认值是 ''（空字符串），即等效于“不信任任何代理”，结果仍会退回到 $_SERVER['REMOTE_ADDR'] —— 和 CI3 默认行为一样不可靠。

• 必须手动设置 public $proxyIPs = '172.16.0.0/12,192.168.0.0/16,10.0.0.0/8';（或对应 CDN 段）
• CI4 的 getIPAddress() 对 X-Forwarded-For 多层嵌套做了更严格的截断处理（取最左第一个非代理 IP），比手写逻辑更稳妥
• 它还会自动忽略私有地址、无效格式、含端口或 host 名的脏数据，比直接读 $_SERVER 安全得多

绕过框架、自己写获取逻辑的风险点

有人图省事直接写 $_SERVER['HTTP_X_FORWARDED_FOR'] ?? $_SERVER['REMOTE_ADDR']，这在生产环境极其危险。

• 未校验来源 IP 是否属于可信代理，等于把伪造入口完全打开
• HTTP_X_FORWARDED_FOR 可能是逗号分隔的多段 IP（如 203.0.113.1, 198.51.100.1），直接取第一个未必是用户真实 IP，也可能是上一级中间代理
• 某些 CDN（如阿里云）用 X-Real-IP，Cloudflare 用 CF-Connecting-IP，硬编码一个 header 名称会漏掉关键路径
• PHP-FPM 场景下，部分 header 可能被重命名（如 HTTP_X_FORWARDED_FOR → HTTP_X_FORWARDED_FOR 被转成大写加下划线），依赖原始 key 易失效

真正需要自定义逻辑时，唯一安全的做法是：先确认 $_SERVER['REMOTE_ADDR'] 属于你配置的 proxy_ips，再按优先级依次检查 CF-Connecting-IP → X-Real-IP → X-Forwarded-For，且对每个候选值调用 filter_var($ip, FILTER_VALIDATE_IP) 校验。

终于介绍完啦！小伙伴们，这篇关于《CodeIgniter获取真实IP与代理IP方法》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！