1. REMOTE_ADDR:是和服务器直接"握手"的IP。
  2. HTTP_CLIENT_IP:代理服务器添加的 HTTP 头,存放客户端真实IP。
  3. HTTP_X_FORWARDED_FOR:代理服务器添加的HTTP头,存放真实ip和各级代理ip。格式为X-Forwarded-For: client1, proxy1, proxy2。

http请求头可以伪造,不仅代理可以,客户端也可以。
REMOTE_ADDR也可以伪造,通过伪造tcp握手包,Response将会发送给被伪造的IP,所以这个层面的伪造ip没有意义。

phpcms中的获取ip函数:

 function ip() {

     if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {

         $ip = getenv('HTTP_CLIENT_IP');

     } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {

         $ip = getenv('HTTP_X_FORWARDED_FOR');

     } elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {

         $ip = getenv('REMOTE_ADDR');

     } elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {

         $ip = $_SERVER['REMOTE_ADDR'];

     }

     return preg_match ( '/[\d\.]{7,15}/', $ip, $matches ) ? $matches [0] : '';

 }

它首先取 HTTP_CLIENT_IP ,然后取 HTTP_X_FORWARDED_FOR,上述都取不到的情况下才去取 REMOTE_ADDR。可前两个都能在客户端伪造。所以这个次序不行。

来看一看如何伪造。
ip_request.php:

 <?php

 $headers['CLIENT-IP'] = '2.2.2.2';

 $headers['X-FORWARDED-FOR'] = '3.3.3.3,8.8.8.8';

 $headerArr = array();

 foreach( $headers as $n => $v ) {

 $headerArr[] = $n .':' . $v;

 }

 ob_start();

 $ch = curl_init();

 curl_setopt ($ch, CURLOPT_URL, "http://www.my.com/ip_response.php");

 curl_setopt ($ch, CURLOPT_HTTPHEADER , $headerArr ); //构造IP

 curl_setopt ($ch, CURLOPT_REFERER, "http://www.163.com/ "); //构造来路

 curl_setopt( $ch, CURLOPT_HEADER, 1);

 curl_setopt($ch, CURLOPT_POST, 1);//post方式发送数据

 curl_exec($ch);

 curl_close ($ch);

 $out = ob_get_contents();

 ob_clean();

 echo $out;

 ?>

ip_response.php

 <?php

 print_r($_SERVER);

 ?>

输出结果:

 HTTP/1.1 200 OK

 Date: Wed, 08 Mar 2017 02:57:08 GMT

 Server: Apache/2.4.9 (Win32) PHP/5.5.12

 X-Powered-By: PHP/5.5.12

 Content-Length: 2028

 Connection: close

 Content-Type: text/html

 Array

 (

 [HTTP_HOST] => www.my.com

 [HTTP_ACCEPT] => */*

 [HTTP_REFERER] => http://www.163.com/

 [HTTP_CLIENT_IP] => 2.2.2.2

 [HTTP_X_FORWARDED_FOR] => 3.3.3.3,8.8.8.8

 [CONTENT_TYPE] => application/x-www-form-urlencoded

 [HTTP_EXPECT] => 100-continue

 [PATH] => C:\Program Files\Java\jdk1.8.0_31\bin;C:\Program Files\Java\jdk1.8.0_31\jre\bin;C:\Program Files\Java\jdk1.8.0_31\bin;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\WINDOWS\System32\WindowsPowerShell\v1.0\;C:\Program Files\Java\bin;C:\Program Files (x86)\MacType;F:\Program Files\TortoiseSVN\bin;C:\Python27\;C:\Program Files\nodejs\;C:\WINDOWS\system32\config\systemprofile\.dnx\bin;C:\Program Files\Microsoft DNX\Dnvm\;C:\Program Files (x86)\Windows Kits\8.1\Windows Performance Toolkit\;C:\Program Files\Microsoft SQL Server\130\Tools\Binn\;E:\WAMP\bin\php\php5.5.12;C:\WINDOWS\system32\config\systemprofile\AppData\Local\Microsoft\WindowsApps

 [SystemRoot] => C:\WINDOWS

 [COMSPEC] => C:\WINDOWS\system32\cmd.exe

 [PATHEXT] => .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

 [WINDIR] => C:\WINDOWS

 [SERVER_SIGNATURE] => <address>Apache/2.4.9 (Win32) PHP/5.5.12 Server at www.my.com Port 80</address>

 [SERVER_SOFTWARE] => Apache/2.4.9 (Win32) PHP/5.5.12

 [SERVER_NAME] => www.my.com

 [SERVER_ADDR] => 127.0.0.1

 [SERVER_PORT] => 80

 [REMOTE_ADDR] => 127.0.0.1

 [DOCUMENT_ROOT] => E:/WAMP/www/my

 [REQUEST_SCHEME] => http

 [CONTEXT_PREFIX] =>

 [CONTEXT_DOCUMENT_ROOT] => E:/WAMP/www/my

 [SERVER_ADMIN] => admin@example.com

 [SCRIPT_FILENAME] => E:/WAMP/www/my/ip_response.php

 [REMOTE_PORT] => 59461

 [GATEWAY_INTERFACE] => CGI/1.1

 [SERVER_PROTOCOL] => HTTP/1.1

 [REQUEST_METHOD] => POST

 [QUERY_STRING] =>

 [REQUEST_URI] => /ip_response.php

 [SCRIPT_NAME] => /ip_response.php

 [PHP_SELF] => /ip_response.php

 [REQUEST_TIME_FLOAT] => 1488941828.317

 [REQUEST_TIME] => 1488941828

 )

phpcms已跪。

php 获取真实ip的更多相关文章

  1. 阿里云SLB后Nginx、Tomcat获取真实IP

    一.SLB后Nginx如何获取真实IP 前提:nginx作为slb获取真实ip是使用 http_realip_module,默认一键安装包安装的nginx没有安装这个模块需要重新重新编译nginx并加 ...

  2. Nginx 获取真实 IP 方案

    问题根源: 基于七层的负载均衡系统,获取IP的原理都是通过XRI和XFF进行处理,从中选出“正常情况下”的源头IP,然而这两个Header都是普通的HTTP头,任何代理程序都可以轻易修改伪造它们,使得 ...

  3. nginx前端负载,后端apache获取真实IP设置

    原文链接: nginx前端负载,后端apache获取真实IP设置 参考文献: 前端Nginx,后端Apache获取用户真实IP地址  按照第二种方法设置不成功! 网站最前端是nginx,做的PROXY ...

  4. Nginx 反向代理获取真实IP问题

    一.前言 前文 Nginx 解决WebApi跨域二次请求以及Vue单页面问题 当中虽然解决了跨域问题带来的二次请求,但也产生了一个新的问题,就是如果需要获取用户IP的时候,获取的IP地址总是本机地址. ...

  5. 获取请求主机IP地址,如果通过代理进来,则透过防火墙获取真实IP地址;

    package com.utils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.htt ...

  6. nodejs+nginx获取真实ip

    nodejs + nginx获取真实ip分为两部分: 第一.配置nginx: 第二.通过nodejs代码获取: 其他语言也是一样的,都是配置nginx之后,在http头里面获取“x-forwarded ...

  7. JSP 获取真实IP地址的代码

    [转载]JSP 获取真实IP地址的代码 JSP 获取真实IP地址的代码 在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的.   ...

  8. 003-Nginx 设置Header 获取真实IP

    1.X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项.它 ...

  9. 【转载】JSP 获取真实IP地址的代码

    JSP 获取真实IP地址的代码 在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的.   但是在通过了 Apache,Squid ...

  10. CDN或负载均衡或WAF,后端服务器获取真实IP

    问题起因: 1. 后端PHP的$_SERVER["REMOTE_ADDR"]个别服务器获取不到真实IP 2. iptables 和 悬镜 等工具,设置IP黑名单不起作用 简单点说, ...

随机推荐

  1. npm 错误记录

    npm run dev iview-weapp@1.1.0 dev /Users/Jovins/Desktop/小程序/iview-weapp gulp --gulpfile build/build- ...

  2. leetcode 590.N-ary Tree Postorder Traversal N叉树的后序遍历

    递归方法 C++代码: /* // Definition for a Node. class Node { public: int val; vector<Node*> children; ...

  3. 【linux】的文件按时间排序

    > ls -alt # 按修改时间排序 > ls --sort=time -la # 等价于> ls -alt > ls -alc # 按创建时间排序 > ls -alu ...

  4. Octavia 项目加速 OpenStack LBaaS 落地大规模应用场景

    目录 文章目录 目录 OpenStack LBaaS Octavia 软件架构 网络架构 操作对象基本概念 功能实现基本概念 Ocatvia Daemon 列表 部署 Ocatvia 手动方式集成 O ...

  5. 机器学习实战-K-近邻算法(kNN)

    k-近邻算法(kNN)---它的工作原理是:存在一个样本数据集合,也称做训练样本集,并且样本集中每个数据都存在标签,即我们知道样本集中每个数据与所属分类的对应关系.输入没有标签的新数据后,将新数据的每 ...

  6. numpy添加新的维度

    原文链接:https://blog.csdn.net/xtingjie/article/details/72510834 numpy中包含的newaxis可以给原数组增加一个维度 np.newaxis ...

  7. Canvas入门03-绘制弧线和圆

    绘制弧线的API: context.arc(centerx:number, centery: number, radius: number, startAngle: number, endAngle: ...

  8. 修改SpringBoot启动时的默认Banner图案

    1.在src/main/resources下新建banner.txt,在文件中加入要显示的图案即可: 2.生成图案的网站: http://patorjk.com/software/taag/ http ...

  9. 树形dp相关

    前言 1:与树或图的生成树相关的动态规划. 2:以每棵子树为子结构,在父亲节点合并,注意树具有天然的子结构.这是很优美的很利于dp的. 3:巧妙利用Bfs或Dfs序,可以优化问题,或得到好的解决方法. ...

  10. 安装libpng库

    一. 安装libpng库前需要先安装zlib库,libpng库依赖zlib库 1.1. zlib库安装 1.1.1. 下载地址:http://www.zlib.net/ 1.1.2. 解压后得到zli ...