PHP中如何获取用户IP地址_PHP获取访问者IP的四种方法【教程】

php中无绝对可靠的获取用户真实ip方法，$_server['remote_addr']是唯一始终可用但仅表示tcp连接端ip；http_x_forwarded_for等头可被伪造，须结合可信代理校验与cidr范围过滤，并优先使用cloudflare等专用头。

直接说结论：PHP里没有绝对可靠的获取用户真实IP的方法，$_SERVER['REMOTE_ADDR'] 是唯一始终可用的字段，但它是与服务器建立 TCP 连接的客户端地址——可能是代理、CDN 或 NAT 网关后的 IP，不一定是访问者本人的。

为什么 $_SERVER['HTTP_X_FORWARDED_FOR'] 不能直接信任

这个字段由上游代理（如 Nginx、CDN、负载均衡）添加，内容可被客户端伪造。比如 curl 发起请求时手动加头：curl -H "X-Forwarded-For: 1.2.3.4" https://yoursite.com，服务端若无校验就会误认为是真实 IP。

• 仅当你的服务器**前面只有一层可信代理**（例如你自建的 Nginx 反向代理），且该代理明确配置了 proxy_set_header X-Forwarded-For $remote_addr;，才可考虑使用它
• 若前端有 Cloudflare、阿里云 SLB、腾讯云 CLB 等，它们会改写或覆盖该字段，需配合 HTTP_CF_CONNECTING_IP 或 HTTP_X_REAL_IP 等专用头
• 该字段值可能为逗号分隔的多个 IP（如 "203.0.113.1, 198.51.100.1"），取第一个不等于代理内网 IP 的才相对合理

如何安全地组合多个 $_SERVER 字段判断

没有银弹，只能按可信度降序检查，并排除已知不可信的内网段。典型逻辑是：

// 假设你确认 Nginx 在 10.0.0.0/8 和 172.16.0.0/12 内网中运行
$trustedProxies = ['10.0.0.0/8', '172.16.0.0/12', '192.168.0.0/16'];
$clientIP = $_SERVER['REMOTE_ADDR'];

// 优先检查 Cloudflare
if (isset($_SERVER['HTTP_CF_CONNECTING_IP']) && filter_var($_SERVER['HTTP_CF_CONNECTING_IP'], FILTER_VALIDATE_IP)) {
    $clientIP = $_SERVER['HTTP_CF_CONNECTING_IP'];
}
// 再看标准 X-Forwarded-For（仅当 REMOTE_ADDR 属于可信代理网段时才采信）
elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && ip_in_range($_SERVER['REMOTE_ADDR'], $trustedProxies)) {
    $ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
    foreach ($ips as $ip) {
        if (filter_var($ip, FILTER_VALIDATE_IP) && !ip_in_range($ip, $trustedProxies)) {
            $clientIP = $ip;
            break;
        }
    }
}
// 最后 fallback 到 REMOTE_ADDR

注意：ip_in_range() 需自行实现 CIDR 判断，PHP 原生不提供；别用 gethostbyname() 或正则硬匹配，容易绕过。

立即学习“PHP免费学习笔记（深入）”；

狸谱App

AI壁纸漫画梗图，年轻人的抽象创作社区

下载

$_SERVER['REMOTE_ADDR'] 是底线，也是起点

这是 PHP 接收到 TCP 连接时对端的真实 IP，无法被 HTTP 头伪造，但它反映的是“谁连上了你的 Web 服务器”，不是“谁点了网页”。常见场景：

• 直连部署（无反代、无 CDN）→ 它就是用户真实公网 IP
• 用了 Nginx 反向代理但没配 real_ip 模块 → 它是 Nginx 所在机器的内网 IP（如 127.0.0.1 或 10.1.2.3）
• 接入了 CDN → 它是 CDN 节点出口 IP（如 Cloudflare 的 173.245.48.0/20 段），此时必须依赖 CDN 提供的专用头

如果你的应用依赖 IP 做限流、封禁或地域判断，只靠这一项很可能误伤或失效。

别忽略 IPv6 和私有地址校验

IPv6 地址长度和格式差异大，filter_var($ip, FILTER_VALIDATE_IP) 必须显式加 FILTER_FLAG_IPV6 才能正确验证；而 127.0.0.1、::1、10.0.0.0/8、192.168.0.0/16、172.16.0.0/12、fd00::/8 这些都属于不应对外暴露的地址段，任何出现在 X-Forwarded-For 中的此类 IP 都应跳过。

很多开发者只处理 IPv4，结果在启用了 IPv6 的 CDN 或云主机上拿到 ::ffff:192.0.2.1 这类映射地址却没识别，导致封禁逻辑失效。