Fenying

Angus’ Home.


27 Apr 2014

关于 PHP 获取 IP 的方法与安全问题

该文章迁移自作者的旧博客站点。
源地址:http://fenying.blog.163.com/blog/static/102055993201432755115604/

今日为学校开发网站时,要加入限制外网 IP 段访问网站的功能。由于网站使用的是一个建站程序,我直接使用了其中内置的 getip 函数获取客户端 IP,然后根据 IP 网段限制访问。

但是在这过程中,一开始看似正常,然后就有多位管理跟我说他用外部网络仍然可以访问网站。我起初在检测 IP 网段分析算法,但是发现毫无问题。最后终于在 getip 函数里发现了问题。

getip 函数的实现是,先检测 $_SERVER['HTTP_X_FORWARDED_FOR'] 是否有值,有即返回该值,否则返回 $_SERVER['REMOTE_ADDR']

问题就出在这里了。这个函数的设计原意是好的,该作者企图通过 $_SERVER['HTTP_X_FORWARDED_FOR'] 获取通过代理 IP 访问网站的用户的真实 IP,奈何这个值是可以造假的!

我上百度查了下资料,原来 $_SERVER['HTTP_X_FORWARDED_FOR'] 是包含在 HTTP Request Header 里的内容,也就是说,你可以随意在 HTTP Request Header 里加入这个参数,然后用上面的 getip 函数获取的都是你指定的 IP!这样伪造 IP 实在太简单了。

而且,在我遇到的问题里,更为严重,因为可以伪造 IP(或许用户不知道,但是部分手机浏览器已经自动做了),那么我设置的内网限制也就毫无意义了!我只要在 HTTP 请求里加入 HTTP_X_FORWARDED_FOR: 10.10.10.10,那么我用 getip 获取的就是 10 网段,也就是内网网段!

在我把 getip() 直接换成 $_SERVER['REMOTE_ADDR'] 以后,问题迎刃而解。

所以,我个人的建议是,如果你的程序需要对 IP 网段进行限制,那么请直接使用 $_SERVER['REMOTE_ADDR'] ,而绝不要尝试检测代理 IP,因为那是无用功。(具体参看参考文献)

【参考文献】

该文章根据 CC-BY-4.0 协议发表,转载请遵循该协议。
本文地址:https://fenying.net/post/2014/04/27/how-to-get-client-ip-in-php/

comments powered by Disqus