$_server['remote_addr']不可靠,因它仅表示直连php的代理ip;真实ip需校验可信代理后从x-forwarded-for或cdn专用头(如cf-connecting-ip)中获取,并过滤私有/保留地址。
PHP 里 $_SERVER['REMOTE_ADDR'] 大多数时候不是用户真实 IP,而是代理或 CDN 的出口 IP;真要拿到用户原始 IP,得看请求头,但必须校验来源可信度,否则极易被伪造。
为什么 $_SERVER['REMOTE_ADDR'] 不可靠
它只反映与当前 PHP 进程直接建立 TCP 连接的客户端地址。如果用户经过 Nginx、CDN、负载均衡或反向代理(比如 Cloudflare、阿里云 SLB),这里拿到的就是那个中间节点的 IP,不是用户手机或电脑的真实出口 IP。
常见错误现象:$_SERVER['REMOTE_ADDR'] 总是固定几个内网或公有云段地址(如 10.0.0.x、172.16.x.x、192.168.x.x 或 104.28.x.x),和用户地理位置完全对不上。
使用场景:仅适用于无任何代理的直连环境(比如本地开发、内网服务);生产环境几乎不可用。
立即学习“PHP免费学习笔记(深入)”;
X-Forwarded-For 和 X-Real-IP 怎么安全读取
这两个是事实标准的代理传递头,但它们可以被任意 HTTP 客户端伪造——所以不能无条件信任,必须结合「可信代理列表」判断哪些请求头是可信的。
实操建议:
- 只从你明确控制的上一级代理(比如你自己的 Nginx)设置的头中取值,例如 Nginx 配置了
proxy_set_header X-Real-IP $remote_addr;,那$_SERVER['HTTP_X_REAL_IP']才可信 - 如果用了多层代理(如 CDN → Nginx → PHP),
X-Forwarded-For是逗号分隔的 IP 链,最右边是发起方,最左边是第一跳代理;但只有「紧邻你的那一跳」的 IP 是可信的,其余全可伪造 - 务必配置「可信代理 IP 段」,例如:
['127.0.0.1', '10.0.0.0/8', '172.16.0.0/12'],只在这些来源的请求里才解析X-Forwarded-For
示例(简单但带校验):
$trustedProxies = ['127.0.0.1', '10.10.0.0/16'];
$clientIp = $_SERVER['REMOTE_ADDR'];
if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && in_array($_SERVER['REMOTE_ADDR'], $trustedProxies)) {
$ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
$clientIp = $ips[0]; // 取链中最左(即最靠近用户的)一个,前提是整条链来自可信代理
}
Cloudflare、阿里云、腾讯云等 CDN 下怎么拿真实 IP
各家 CDN 会覆盖或添加特定头,且默认不透传原始 IP 到源站,需主动开启或依赖其可信头。
关键点:
- Cloudflare:启用「IP Geolocation」后,会加
CF-Connecting-IP头;它不可伪造,只要确保请求确实来自 Cloudflare(校验$_SERVER['HTTP_CF_CONNECTING_IP']存在 + 请求来源 IP 在 Cloudflare 官方 IP 段内) - 阿里云 SLB / 腾讯云 CLB:通常用
X-Real-IP或X-Forwarded-For,但必须在控制台开启「透传客户端源 IP」功能,否则这些头压根不会出现 - 所有 CDN 场景下,
$_SERVER['REMOTE_ADDR']都是 CDN 节点 IP,绝不能直接用
验证是否生效:在 PHP 中打印 print_r($_SERVER),搜索 CF_、X_Real、X_Forwarded 等关键词,确认对应头存在且值合理。
别忽略 IPv6 和私有地址过滤
真实用户可能走 IPv6,而很多老代码只处理 IPv4;同时,即使拿到 IP,也可能是个私有地址(如 127.0.0.1、::1、fd00::/8),说明代理配置出错或请求根本没过公网。
实操建议:
- 用
filter_var($ip, FILTER_VALIDATE_IP)校验格式,再用FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE排除私有和保留地址 - IPv6 地址在
X-Forwarded-For中可能带方括号(如[2001:db8::1]),需先trim($ip, '[]') - 不要假设 IP 一定是字符串——某些 SAPI(如 PHP-FPM 配合 FastCGI)可能让
$_SERVER中的头变成小写键名(http_x_forwarded_for),注意兼容
真正难的不是“怎么取”,而是“怎么信”:每多一层代理,就多一分伪造风险;没有可信链路的头,和前端 JS 里随便写的 fetch('/api?ip=1.2.3.4') 没区别。别省掉代理白名单校验这一步,它比写十行 IP 解析逻辑都重要。
