PHP获取真实外网IP的正确方法

在PHP开发中，准确获取用户真实外网IP远比直接读取$_SERVER变量复杂得多——本地环境返回127.0.0.1、反向代理后REMOTE_ADDR变成内网地址、X-Forwarded-For被恶意伪造等问题频发；本文深入剖析了各类IP获取场景的陷阱，强调必须结合部署架构（如Nginx透传配置、CDN可信头）与严格白名单校验，通过过滤私有网段和保留地址，安全提取首个合法公网IP，还提供了经过实战验证的轻量级getRealIp()函数，帮你避开90%的线上IP误判坑。

PHP 获取到 127.0.0.1，基本说明你没在真正外网环境下跑，或者代码直接读了 $_SERVER['SERVER_ADDR'] 或 $_SERVER['LOCAL_ADDR'] —— 这俩返回的是服务器本机监听地址，不是客户端真实 IP。

为什么 $_SERVER['REMOTE_ADDR'] 有时也错？

它本该是客户端真实 IP，但一旦经过反向代理（Nginx、CDN、云防火墙、SLB），这个值就会变成上一跳代理的内网 IP（比如 10.0.1.5 或又变成 127.0.0.1）。此时真实 IP 被挪到 HTTP 请求头里，如 X-Forwarded-For、X-Real-IP 等。

常见错误现象：

• 本地开发用 php -S 启动，$_SERVER['REMOTE_ADDR'] 是 127.0.0.1 —— 正常，没走网络请求
• 线上 Nginx + PHP-FPM，$_SERVER['REMOTE_ADDR'] 是 127.0.0.1 —— 很可能 Nginx 配置了 fastcgi_pass 127.0.0.1:9000，且没透传头信息
• $_SERVER['HTTP_X_FORWARDED_FOR'] 是一长串逗号分隔的 IP（如 203.208.60.1, 10.1.2.3）—— 第一个是原始客户端 IP，后面是各级代理

如何安全取真实外网 IP？

不能无条件信任任意请求头。必须结合部署结构做白名单校验，否则容易被伪造（比如客户端手动加 X-Forwarded-For: 8.8.8.8）。

实操建议：

• 先确认你的 PHP 是否在可信代理后：比如 Nginx 和 PHP 同机，Nginx 的 real_ip_header X-Real-IP + set_real_ip_from 127.0.0.1 已配好，那 $_SERVER['REMOTE_ADDR'] 就已是真实 IP
• 如果用了 CDN（如 Cloudflare、阿里云 DDoS 高防），它们会在请求头中提供可信字段，例如 $_SERVER['HTTP_CF_CONNECTING_IP']（Cloudflare）或 $_SERVER['HTTP_X_REAL_IP']（部分国内 CDN）
• 若需自己解析 X-Forwarded-For，只取第一个非私有地址：127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、100.64.0.0/10（运营商 NAT 地址段）都应跳过

一个轻量但较稳妥的取 IP 函数示例

function getRealIp(): ?string
{
    // 优先使用 CDN 提供的可信头
    if (!empty($_SERVER['HTTP_CF_CONNECTING_IP'])) {
        return $_SERVER['HTTP_CF_CONNECTING_IP'];
    }
    if (!empty($_SERVER['HTTP_X_REAL_IP'])) {
        return $_SERVER['HTTP_X_REAL_IP'];
    }

    // 再尝试 X-Forwarded-For（只取第一个合法公网 IP）
    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
        foreach ($ips as $ip) {
            if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
                return $ip;
            }
        }
    }

    // 最终 fallback 到 REMOTE_ADDR（仅当确定没代理时才可靠）
    if (filter_var($_SERVER['REMOTE_ADDR'], FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
        return $_SERVER['REMOTE_ADDR'];
    }

    return null;
}

注意：FILTER_FLAG_NO_RES_RANGE 会过滤掉保留地址（如 0.0.0.0、255.255.255.255），FILTER_FLAG_NO_PRIV_RANGE 排除私有网段 —— 这两个标志在 PHP 7.1+ 才完整支持。

最易被忽略的一点：哪怕你写了“完美”逻辑，只要 Nginx 没把头透传给 PHP（比如漏了 fastcgi_param HTTP_X_REAL_IP $remote_addr;），PHP 根本收不到那个头 —— 所以务必先检查 $_SERVER 数组里有没有你要的键，而不是一上来就写判断逻辑。

到这里，我们也就讲完了《PHP获取真实外网IP的正确方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！