今天登录九秒社团 http://www.9miao.com/的时候忘记了用户名和密码,尝试了5次都没登录成功,网站弹出提示15分钟后才能再次登录。我纳闷它是怎么判断用户的登录次数,这时候用户还没有登录成功,获取不到userid的,那么也就是后台也不知道“登录者到底是谁”?(清除localStorage后,也还是提示15分钟后登录,当然我没有清cookie,九秒网站也不会这么做)。我所能想到的只有是通过ip来确定登录者的登录次数了,然后就想用代理服务器来蒙混过关,就有了下面的实验。

九秒是能够透过透明服务器获取用户ip的,所以要用匿名/高匿代理服务器才能跳过"15分钟后再登录"的关卡,事实也证明了这一点。

经过测试发现:九秒不全是通过ip来确定用户的,还通过用户名来确定用户(如果用户名存在的话)

程序代码

 <?php

     //真实ip

      function getip() {

         $unknown = 'unknown';

         if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && $_SERVER['HTTP_X_FORWARDED_FOR'] && strcasecmp($_SERVER['HTTP_X_FORWARDED_FOR'], $unknown)) {

             $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];

         }

         elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], $unknown)) {

             $ip = $_SERVER['REMOTE_ADDR'];

         }

         /**

             处理多层代理的情况

             或者使用正则方式:$ip = preg_match("/[\d\.]{7,15}/", $ip, $matches) ? $matches[0] : $unknown;

         ***/

         if (false !== strpos($ip, ',')){ $ip = reset(explode(',', $ip)); }

         return $ip;

     }

     echo getip();

 ?>

实验1:没有使用代理服务器情况下
  http://ip.chinaz.com/ 的显示结果是 【您来自:219.147.15.232 所在区域:山东省青岛市 电信】
  http://ip.cn/ 的显示结果是 【当前 IP:219.147.15.232 来自:山东省青岛市 电信】
  http://www.ip138.com/ 的显示结果是 【本机IP: 219.147.15.232山东省青岛市 电信】
  程序代码显示结果是 219.147.15.232

  结论:程序代码正确获得了用户主机ip

实验2:使用 36.250.69.4:80 透明代理服务器的情况下
  http://ip.chinaz.com/ 的显示结果是 【您来自:219.147.15.232 所在区域:山东省青岛市 电信】
  http://ip.cn/ 的显示结果是 【当前 IP:36.250.69.4 来自:福建省厦门市 联通】
  http://www.ip138.com/ 的显示结果是 【您的IP是:[36.250.69.4] 来自:福建省厦门市 联通】
  程序代码显示结果是 219.147.15.232

  结论:程序代码能透过透明代理服务器获取到用户的真实ip(还是ip.chinaz.com比较专业一些)

实验3:使用 61.135.217.10:80 匿名代理服务器的情况下
  http://ip.chinaz.com/ 的显示结果是 【您来自:61.135.217.10 所在区域:北京市 联通互联网数据中心】
  http://ip.cn/ 的显示结果是 【当前 IP:61.135.217.10 来自:北京市 联通】
  http://www.ip138.com/ 的显示结果是 【您的IP是:[61.135.217.10] 来自:北京市北京市 联通】
  程序代码显示结果是 61.135.217.10

  结论:程序代码能不能透过匿名代理服务器获取到用户的真实ip

实验4:使用 1.69.186.141:8888 高匿代理服务器的情况下
  http://ip.chinaz.com/ 的显示结果是 【您来自:1.69.186.141 所在区域:山西省 G】
  http://ip.cn/ 的显示结果是 【当前 IP:1.69.186.141 来自:山西省运城市 电信】
  http://www.ip138.com/ 的显示结果是 【您的IP是:[1.69.186.141] 来自:山西省运城市 电信】
  程序代码显示结果是 1.69.186.141

  结论:程序代码能不能透过高匿代理服务器获取到用户的真实ip

总结:

在PHP获取客户端IP中常使用 $_SERVER["REMOTE_ADDR"] 。
(1) 但如果客户端是使用代理服务器来访问,那取到的是代理服务器的 IP 地址,而不是真正的客户端 IP 地址。要想透过代理服务器取得客户端的真实 IP 地址,就要使用 $_SERVER["HTTP_X_FORWARDED_FOR"] 来读取。
(2) 但只有客户端使用“透明代理”的情况下,$_SERVER["HTTP_X_FORWARDED_FOR"] 的值才是客户端真正的IP(如果是多层代理,该值可能是由客户端真正IP和多个代理服务器的IP组成,由逗号“,”分隔)。
(3) 而在“匿名代理”、“高匿名”的情况下是代理服务器的IP值(如果是多层代理,该值可能由多个代理服务器的IP组成,由逗号“,”分隔)。

扩展:

如果从隐藏使用代理用户的级别上划分,代理可以分为三种,即高度匿名代理、普通匿名代理和透明代理。 
(1)高度匿名代理不改变客户机的请求,这样在服务器看来就像有个真正的客户浏览器在访问它,这时客户的真实IP是隐藏的,服务器端不会认为我们使用了代理。 
(2)普通匿名代理能隐藏客户机的真实IP,但会改变我们的请求信息,服务器端有可能会认为我们使用了代理。不过使用此种代理时,虽然被访问的网站不能知道你的ip地址,但仍然可以知道你在使用代理,当然某些能够侦测ip的网页仍然可以查到你的ip。 
(3)透明代理,它不但改变了我们的请求信息,还会传送真实的IP地址。 
三者隐藏使用代理者身份的级别依次为高度匿名代理最隐蔽,其次是普通匿名代理,最差的是透明代理。

获取真实ip的报告的更多相关文章

  1. 阿里云SLB后Nginx、Tomcat获取真实IP

    一.SLB后Nginx如何获取真实IP 前提:nginx作为slb获取真实ip是使用 http_realip_module,默认一键安装包安装的nginx没有安装这个模块需要重新重新编译nginx并加 ...

  2. Nginx 获取真实 IP 方案

    问题根源: 基于七层的负载均衡系统,获取IP的原理都是通过XRI和XFF进行处理,从中选出“正常情况下”的源头IP,然而这两个Header都是普通的HTTP头,任何代理程序都可以轻易修改伪造它们,使得 ...

  3. nginx前端负载,后端apache获取真实IP设置

    原文链接: nginx前端负载,后端apache获取真实IP设置 参考文献: 前端Nginx,后端Apache获取用户真实IP地址  按照第二种方法设置不成功! 网站最前端是nginx,做的PROXY ...

  4. Nginx 反向代理获取真实IP问题

    一.前言 前文 Nginx 解决WebApi跨域二次请求以及Vue单页面问题 当中虽然解决了跨域问题带来的二次请求,但也产生了一个新的问题,就是如果需要获取用户IP的时候,获取的IP地址总是本机地址. ...

  5. 获取请求主机IP地址,如果通过代理进来,则透过防火墙获取真实IP地址;

    package com.utils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.htt ...

  6. nodejs+nginx获取真实ip

    nodejs + nginx获取真实ip分为两部分: 第一.配置nginx: 第二.通过nodejs代码获取: 其他语言也是一样的,都是配置nginx之后,在http头里面获取“x-forwarded ...

  7. JSP 获取真实IP地址的代码

    [转载]JSP 获取真实IP地址的代码 JSP 获取真实IP地址的代码 在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的.   ...

  8. 003-Nginx 设置Header 获取真实IP

    1.X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项.它 ...

  9. 【转载】JSP 获取真实IP地址的代码

    JSP 获取真实IP地址的代码 在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的.   但是在通过了 Apache,Squid ...

随机推荐

  1. matlab练习程序(矩形变换为单连通形状)

    变换使用的模板必须是单连通的,而且模板中心必须在模板内,如果在模板中打个结或是月牙形,这里的程序就处理不了了. 虽然非单连通模板也有办法处理,不过不是这里要讨论的. 这里用到的方法和矩形变换为圆那片文 ...

  2. Android下拉上滑显示与隐藏Toolbar另一种实现

    public abstract class RecyclerViewScrollListener extends RecyclerView.OnScrollListener { private sta ...

  3. Session: 防止用户多次登陆

    在web开发时,有的系统要求同一个用户在同一时间只能登录一次,也就是如果一个用户已经登录了,在退出之前如果再次登录的话需要报错. 常见的处理方法是,在用户登录时,判断此用户是否已经在Applicati ...

  4. 源码安装Memcached服务器及其2种PHP客户端

    本文所用源码包皆为当时最新stable稳定版. 安装memcached服务器 先安装libevent, 最新版为2.0.21 tar -zxvf libevent-2.0.21-stable.tar. ...

  5. SU Demos-02Filtering-07Sumedian

    不足之处,欢迎批评指正. 先看脚本内容: 脚本中用到的4个参数文件,是一系列x,t数据对,数组(x,t) 运行结果,

  6. Xamarin Visual Studio提示找不到AssemblyAttributes.cs文件

    Xamarin Visual  Studio提示找不到AssemblyAttributes.cs文件   错误信息:Could not find file ‘C:\Users\[用户名]\AppDat ...

  7. ARP侦查工具Netdiscover

    ARP侦查工具Netdiscover Netdiscover是一个主动/被动的ARP侦查工具.该工具在不使用DHCP的无线网络上非常有用.使用Netdiscover工具可以在网络上扫描IP地址,ARP ...

  8. 使用OUYA第一次启动OUYA

    使用OUYA第一次启动OUYA 1.4  使用OUYA 初次使用OUYA时,其启动以后的设置过程耗时较长,也比较繁琐,因此本节将会对其做个详细介绍,让读者的使用过程更加顺利些!好的开端总归是一个不错的 ...

  9. DataMember IsRequired属性

        1.简介 在数据契约中,如果需要序列化时,则需要传入指定IsRequired属性:   摘要: 获取或设置一个值,该值用于指示序列化引擎在读取或反序列化时成员必须存在.   public bo ...

  10. Lazy Acquisition

    为什么要延迟? 延迟加载模式是用于快速启动.保证初始化时不必浪费时间去加载和运算,而在需要的时候再去调用. 框架中有实现吗? .NET典型的使用在4.0中已经有了,Lazy<T> 特性:线 ...