关于 PHP 获取 IP 的方法与安全问题

今日为学校开发网站时，要加入限制外网 IP 段访问网站的功能。由于网站使用的是一个建站程序，我直接使用了其中内置的 getip 函数获取客户端 IP，然后根据 IP 网段限制访问。

但是在这过程中，一开始看似正常，然后就有多位管理跟我说他用外部网络仍然可以访问网站。我起初在检测 IP 网段分析算法，但是发现毫无问题。最后终于在 getip 函数里发现了问题。

getip 函数的实现是，先检测 $_SERVER['HTTP_X_FORWARDED_FOR'] 是否有值，有即返回该值，否则返回 $_SERVER['REMOTE_ADDR']。

问题就出在这里了。这个函数的设计原意是好的，该作者企图通过 $_SERVER['HTTP_X_FORWARDED_FOR'] 获取通过代理 IP 访问网站的用户的真实 IP，奈何这个值是可以造假的！

我上百度查了下资料，原来 $_SERVER['HTTP_X_FORWARDED_FOR'] 是包含在 HTTP Request Header 里的内容，也就是说，你可以随意在 HTTP Request Header 里加入这个参数，然后用上面的 getip 函数获取的都是你指定的 IP！这样伪造 IP 实在太简单了。

而且，在我遇到的问题里，更为严重，因为可以伪造 IP（或许用户不知道，但是部分手机浏览器已经自动做了），那么我设置的内网限制也就毫无意义了！我只要在 HTTP 请求里加入 HTTP_X_FORWARDED_FOR: 10.10.10.10，那么我用 getip 获取的就是 10 网段，也就是内网网段！

在我把 getip() 直接换成 $_SERVER['REMOTE_ADDR'] 以后，问题迎刃而解。

所以，我个人的建议是，如果你的程序需要对 IP 网段进行限制，那么请直接使用 $_SERVER['REMOTE_ADDR'] ，而绝不要尝试检测代理 IP，因为那是无用功。（具体参看参考文献）

【参考文献】

• 用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REM_addr