正确获取用户真实ip需校验可信代理并过滤私有地址,邮件通知必须使用smtp(如phpmailer)而非mail()函数,避免投递失败。
PHP 获取用户真实 IP 并触发邮件通知,关键在于:不能直接用 $_SERVER['REMOTE_ADDR'],它在代理、CDN 或负载均衡后大概率是中间节点 IP;邮件发送必须绕过本地 mail() 函数的不可靠性,优先走 SMTP。
如何正确获取用户真实 IP 地址
真实 IP 通常藏在 HTTP_X_FORWARDED_FOR、HTTP_X_REAL_IP 或 HTTP_X_CLUSTER_CLIENT_IP 等头中,但这些字段可被伪造,必须结合可信代理列表做白名单校验。
- 只信任你自己的反向代理(如 Nginx、Cloudflare、阿里云 SLB)IP 段,否则直接忽略所有
X-*头 - 优先检查
$_SERVER['HTTP_X_REAL_IP'](Nginx 常用),再 fallback 到$_SERVER['HTTP_X_FORWARDED_FOR']的第一个非私有地址 - 务必过滤私有网段:
127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、::1、fd00::/8等 - 示例逻辑(不依赖第三方库):
$trustedProxies = ['192.168.1.10', '203.205.128.0/20']; // 替换为你实际的代理 IP 或网段
$clientIP = $_SERVER['REMOTE_ADDR'];
if (!empty($_SERVER['HTTP_X_REAL_IP']) && in_array($_SERVER['REMOTE_ADDR'], $trustedProxies)) {
$clientIP = $_SERVER['HTTP_X_REAL_IP'];
} elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
foreach ($ips as $ip) {
if (filter_var($ip, FILTER_VALIDATE_IP) && !filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
$clientIP = $ip;
break;
}
}
}
为什么不要用 PHP mail() 发送通知邮件
mail() 函数严重依赖本地 sendmail 配置,无连接超时控制、无 SMTP 认证支持、无错误上下文,Gmail / Outlook 等主流邮箱几乎 100% 投递失败或进垃圾箱。
- 生产环境必须使用 SMTP(推荐 PHPMailer 或 Symfony Mailer)
- 避免硬编码邮箱密码,改用应用专用密码(如 Gmail App Password)或 OAuth2 token
- 发件人地址必须与 SMTP 登录账户一致,否则易被拒收
- 邮件主题和正文需设置 UTF-8 编码,否则中文乱码
PHPMailer 发送带 IP 信息的邮件示例
以 PHPMailer v6.9+ 为例,注意启用 TLS、设置 isSMTP()、关闭 SMTPDebug 上线后。
立即学习“PHP免费学习笔记(深入)”;
- 安装:
composer require phpmailer/phpmailer - 关键配置项:
Host、Username、Password、Port、SMTPSecure - 邮件正文应明确标注 IP 来源(如“登录 IP:
<?php echo htmlspecialchars($clientIP); ?>”),防止 XSS 注入 - 示例片段(仅核心逻辑):
use PHPMailer\PHPMailer\PHPMailer;
$mail = new PHPMailer(true);
$mail->isSMTP();
$mail->Host = 'smtp.gmail.com';
$mail->Port = 587;
$mail->SMTPAuth = true;
$mail->Username = 'your@gmail.com';
$mail->Password = 'your_app_password'; // 不是邮箱密码
$mail->SMTPSecure = 'tls';
$mail->setFrom('your@gmail.com', 'Alert System');
$mail->addAddress('admin@example.com');
$mail->Subject = '⚠️ 新登录请求';
$mail->Body = "用户 IP:<code>" . htmlspecialchars($clientIP) . "</code>\n时间:" . date('Y-m-d H:i:s');
$mail->CharSet = 'UTF-8';
$mail->send();
容易被忽略的边界情况
真实部署时,以下几点常导致功能静默失效:
- 服务器时间不同步 → 邮件头 Date 错误 → 被部分邮箱拦截;用
ntpdate -s time.windows.com或 systemd-timesyncd 校准 - CDN 开启了“隐藏真实 IP”选项(如 Cloudflare 的 “Full” SSL 模式下未配
set_real_ip_from)→ Nginx 收不到原始 IP - 防火墙或安全组封锁了 SMTP 出口(如腾讯云默认禁用 25/465/587 端口)→ 需手动放行
- 邮件内容含敏感词(如“登录”“密码”“验证”)→ 触发企业邮箱内容过滤,建议用中性表述如“访问记录”
