登录
首页 >  文章 >  php教程

PHP获取客户端IP地址方法

时间:2026-05-16 14:33:39 138浏览 收藏

在复杂的现代 Web 架构中,PHP 直接使用 `$_SERVER['REMOTE_ADDR']` 获取的往往只是代理或负载均衡器的内网 IP,而非用户真实出口地址;真正可靠的方式是结合可信代理链,优先校验如 `X-Real-IP`、`CF-Connecting-IP` 等由你可控的前端服务注入的请求头,并对 `X-Forwarded-For` 进行严格解析与过滤——因为“怎么取 IP”只是表象,关键在于明确网络拓扑中哪些环节可信、哪些头字段不可伪造,否则再精巧的代码也难防 IP 伪造与安全绕过。

PHP怎样获取客户端IP_PHP获取IP地址方法【IP】

PHP 获取客户端真实 IP 并不简单,直接读 $_SERVER['REMOTE_ADDR'] 多数情况下只能拿到代理或负载均衡的 IP,不是用户真实出口 IP。

为什么 $_SERVER['REMOTE_ADDR'] 不可靠

它只反映与当前 PHP 进程直连的上一跳地址。在有 Nginx、CDN、云 WAF(如阿里云 DDoS 防护)、K8s Ingress 或反向代理的架构中,这个值通常是代理服务器的内网 IP(比如 127.0.0.110.0.0.5),而非用户真实 IP。

真实 IP 一般藏在 HTTP 请求头里,最常见的是 X-Forwarded-For,但该字段可被客户端伪造,不能直接信任。

  • 若你用的是自建 Nginx,且配置了 proxy_set_header X-Forwarded-For $remote_addr;,那 X-Forwarded-For 最左边的 IP 是可信的
  • 若前端是 Cloudflare,应优先读 HTTP_CF_CONNECTING_IP(Cloudflare 自动注入,不可伪造)
  • 阿里云 SLB/ALB 默认写入 X-Real-IP,且只写一次,比 X-Forwarded-For 更干净

推荐的 PHP 获取真实 IP 函数

下面是一个兼顾安全性与常见部署场景的函数,不依赖扩展,纯原生 PHP:

function get_client_ip() {
    $ip = $_SERVER['REMOTE_ADDR'] ?? '';

    // 优先检查可信头(按部署环境选择其一)
    if (isset($_SERVER['HTTP_X_REAL_IP']) && filter_var($_SERVER['HTTP_X_REAL_IP'], FILTER_VALIDATE_IP)) {
        $ip = $_SERVER['HTTP_X_REAL_IP'];
    } elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        // X-Forwarded-For 可能是 "a,b,c" 形式,取最左且合法的
        $ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
        foreach ($ips as $candidate) {
            if (filter_var($candidate, FILTER_VALIDATE_IP) && !in_array($candidate, ['127.0.0.1', '::1', '0.0.0.0'])) {
                $ip = $candidate;
                break;
            }
        }
    } elseif (isset($_SERVER['HTTP_CF_CONNECTING_IP']) && filter_var($_SERVER['HTTP_CF_CONNECTING_IP'], FILTER_VALIDATE_IP)) {
        $ip = $_SERVER['HTTP_CF_CONNECTING_IP'];
    }

    return $ip;
}

注意点:

  • 必须配合可信代理链使用——即你得确认前端代理确实设置了这些 header,且不会被外部篡改
  • 不要无条件信任 X-Forwarded-For 的任意一段;只取第一个合法非保留 IP 是较稳妥做法
  • 如果 PHP 运行在 CLI 模式(如定时任务),$_SERVER 中可能没有这些 key,函数需加兜底

验证 IP 是否被伪造的简单方式

仅靠 PHP 层无法 100% 防伪造,但可以加一层轻量校验:

  • 对比 $_SERVER['REMOTE_ADDR'] 和你从 header 解析出的 IP:若两者明显不同(比如一个是公网 IPv4,另一个是内网地址),说明经过了代理,此时应以 header 为准
  • 记录日志时,同时打上 REMOTE_ADDRX-Forwarded-ForX-Real-IP 三者,用于事后排查是否被绕过
  • 对安全要求高的场景(如登录、支付),建议结合设备指纹、行为特征等辅助判断,别单靠 IP 做权限决策

真正难的不是“怎么取”,而是“信谁”——你要清楚自己的网络拓扑里哪一层可控、哪个 header 是由你控制的代理注入的,其余都默认不可信。漏掉这一层判断,再漂亮的代码也白搭。

文中关于的知识介绍,希望对你的学习有所帮助!若是受益匪浅,那就动动鼠标收藏这篇《PHP获取客户端IP地址方法》文章吧,也可关注golang学习网公众号了解相关技术文章。

资料下载
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>