php怎么获取客户端ip地址_穿透代理真实ip获取【技巧】

本篇文章给大家分享《php怎么获取客户端ip地址_穿透代理真实ip获取【技巧】》，覆盖了文章的常见基础知识，其实一个语言的全部知识点一篇文章是不可能说完的，但希望通过这些问题，让读者对自己的掌握程度有一定的认识(B 数)，从而弥补自己的不足，更好的掌握它。

PHP获取客户端IP不能只依赖$_SERVER['REMOTE_ADDR']，因其在反向代理场景下返回代理内网IP；须结合可信代理列表校验X-Real-IP或X-Forwarded-For头中非私有/非保留的最右有效IP。

PHP 获取客户端 IP 不能只看 $_SERVER['REMOTE_ADDR']，它在有反向代理（Nginx、CDN、负载均衡）时返回的是代理服务器的内网 IP，不是用户真实 IP。

为什么 $_SERVER['REMOTE_ADDR'] 不可靠

该值由 Web 服务器（如 Apache/Nginx）直接设置，仅反映与它建立 TCP 连接的上一跳地址。一旦请求经过 CDN、Nginx 反向代理或云 WAF，这里就变成代理机器的 IP（比如 127.0.0.1 或 10.x.x.x），原始用户 IP 已丢失。

真实 IP 通常由代理通过 HTTP 头传递，最常见的是 X-Forwarded-For，但也可能用 X-Real-IP、X-Forwarded-For-Original 等，取决于代理配置。

如何安全获取真实客户端 IP

不能无条件信任任意 HTTP 头——攻击者可伪造 X-Forwarded-For。必须结合「可信代理列表」做逐级解析，否则会引入 IP 欺骗漏洞。

• 先明确你的 PHP 应用前面有哪些**可信代理**（例如：Nginx 本机、公司内部 LB 的固定 IP 段）
• 只从这些可信代理传来的头中提取 IP，跳过不可信来源的头字段
• 对 X-Forwarded-For 值按逗号分隔后取**最右第一个非私有/非保留地址**（因为它是“最原始”的发起者）
• 优先使用 X-Real-IP（如果 Nginx 显式设置了它，且你信任该 Nginx）

示例逻辑（不依赖扩展）：

$trustedProxies = ['127.0.0.1', '10.0.0.0/8', '172.16.0.0/12', '192.168.0.0/16'];
$clientIp = $_SERVER['REMOTE_ADDR'] ?? '';

if (!empty($_SERVER['HTTP_X_REAL_IP']) && in_array($clientIp, $trustedProxies)) {
    $clientIp = $_SERVER['HTTP_X_REAL_IP'];
} elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
    foreach (array_reverse($ips) as $ip) {
        if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
            continue;
        }
        if (in_array($ip, $trustedProxies) || $this->isInTrustedRange($ip, $trustedProxies)) {
            continue;
        }
        $clientIp = $ip;
        break;
    }
}

常见错误和绕过风险

直接用 $_SERVER['HTTP_X_FORWARDED_FOR'] 或 $_SERVER['HTTP_X_REAL_IP'] 赋值，等于把 IP 来源完全交给客户端控制，极易被用于日志污染、权限绕过、限流绕过等场景。

• 没校验代理可信性：只要头存在就取值，攻击者 curl -H "X-Forwarded-For: 1.2.3.4" 会生效
• 误取最左 IP：Nginx 在 X-Forwarded-For 末尾追加，但有些中间件会 prepend，导致取错
• 忽略 IPv6 格式：::1、2001:db8::1 需用 FILTER_FLAG_IPV6 配合验证
• 没处理空格或多个逗号："1.2.3.4, , 5.6.7.8" 分割后需 trim()

框架和中间件的注意事项

Laravel、Symfony、ThinkPHP 等主流框架默认不自动处理代理 IP，需手动配置可信代理 CIDR 列表（如 Laravel 的 TrustProxies 中间件）。若用 Swoole 或 Workerman，$_SERVER 中的代理头可能根本不存在——因为请求未经传统 Web 服务器，此时应由前端反向代理统一注入 X-Real-IP 并确保其不可伪造。

CDN 场景（如 Cloudflare、阿里云全站加速）会提供专用头，如 CF-Connecting-IP，但它只在其边缘节点到源站链路中有效，且需在 CDN 控制台开启「传递真实 IP」选项，否则该头不会出现。

真正麻烦的不是代码怎么写，而是你得清楚知道流量路径里每层设备是否可控、是否可信、是否透传了哪个头——漏掉一层，IP 就可能失真。

终于介绍完啦！小伙伴们，这篇关于《php怎么获取客户端ip地址_穿透代理真实ip获取【技巧】》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！