不安全。exec()调用系统命令获取本机IP存在命令注入、环境依赖、权限限制等风险;应改用socket出口探测等原生PHP方法,并过滤loopback、私有地址和虚拟网卡IP。
不安全。用 exec() 调用系统命令(如 hostname -I 或 ip addr)获取本机 IP,在 PHP 中属于高风险操作,应避免。
为什么 exec() 取本机 IP 不安全
核心问题是:命令执行不受限、输入不可控、输出不可信。
-
exec()默认不校验命令来源,若参数拼接了用户可控变量(哪怕看似没拼),可能触发命令注入(如system("ip addr show eth0 | grep 'inet ' | head -1 | awk '{print $2}' | cut -d/ -f1" . $suffix)) - 即使硬编码命令,也依赖系统环境:不同 Linux 发行版的网络工具行为不一致(
ifconfig已废弃、ip命令输出格式随版本变化),导致解析失败或取错地址(比如拿到 loopback 的127.0.0.1或 docker bridge 地址) - Web 服务器常以低权限用户(如
www-data)运行,exec()可能被禁用(disable_functions=exec,shell_exec,system,passthru),上线后直接报错
PHP 安全获取本机 IP 的推荐方式
绕过 shell,用 PHP 原生函数 + 网络层探测,更稳定、更可控。
- 用
gethostbyname()+gethostname()组合:gethostbyname(gethostname())—— 适用于大多数情况,但依赖/etc/hosts配置是否将主机名映射到真实网卡 IP - 遍历本地 socket 连接目标(最可靠):
创建一个 dummy UDP socket 连接到一个公网地址(如8.8.8.8:1),不发数据,只查 socket 绑定的本地出口 IP:$socket = socket_create(AF_INET, SOCK_DGRAM, SOL_UDP);
socket_connect($socket, '8.8.8.8', 1);
socket_getsockname($socket, $ip);
socket_close($socket);
// $ip 即本机实际对外出口 IP - 读取
/proc/net/route(Linux only):
解析内核路由表找默认网关所在接口的 IP,需注意权限和路径存在性,不跨平台
哪些 IP 地址其实不该当作“本机 IP”返回
很多方案会误把非业务网卡地址当成本地 IP,尤其在容器或云环境中。
立即学习“PHP免费学习笔记(深入)”;
-
127.0.0.1和::1:必须过滤,这是 loopback,不是对外服务地址 -
172.17.0.x、192.168.0.x、10.x.x.x:私有地址段,若服务需对外暴露,这类地址对调用方无意义 - Docker bridge(
docker0)、Kubernetes CNI 接口(cni0、flannel.1)等虚拟网卡地址:除非明确要监听这些网络,否则应跳过 - IPv6 地址(如
fe80::链路本地地址):多数 Web 服务不启用 IPv6,盲目返回会导致客户端连接失败
真正安全的做法,是结合部署场景:如果跑在 Kubernetes 里,优先读 /etc/hostname 或 Downward API;如果是传统 VM,用 socket 出口探测;所有结果都应做 CIDR 检查和协议过滤。别让一行 exec("hostname -I") 成为攻击入口或发布事故的起点。
