En PHP, le moyen courant d'obtenir l'IP demandée passe généralement par trois variables super globales, mais il est évident que les trois méthodes d'obtention de l'IP ne sont pas totalement fiables.
$_SERVER['REMOTE_ADDR']; // 客户端与服务器握手IP,如果使用代理则会获取到代理IP $_SERVER['HTTP_CLIENT_IP']; // 代理服务器发送的HTTP头(可伪造) $_SERVER['HTTP_X_FORWARDED_FOR']; // 用户是在哪个IP使用的代理(可伪造)
Si le nom de domaine n'a pas été proxy, le moyen généralement sûr est REMOTE_ADDR. S'il s'agit d'un réseau à l'étranger, le moyen le plus sûr consiste pour les fournisseurs de cloud à fournir des méthodes d'acquisition d'IP source fiables, telles que celles fournies par Google Cloud :
Lorsqu'il n'y a pas de contrefaçon IP, X-forwarded-For est généralement la véritable IP du client, l'IP d'équilibrage de charge
Lorsqu'une fausse IP apparaît, Google Cloud transmettra le faux contenu, le format est , la véritable IP du client, IP d'équilibrage de charge
Donc, qu'elle soit falsifiée ou non, nous pouvons couper la chaîne avec des virgules et trouver l'avant-dernière valeur X-forwarded-for pour obtenir la véritable IP du client.
Bien sûr, si le fournisseur de cloud de noms de domaine ne fournit pas d'informations similaires sur les noms de domaine, nous ne pouvons pas simplement les obtenir via des variables super globales.
Lorsque le fournisseur de cloud de nom de domaine ne fournit pas les informations IP source de la demande correspondante, nous pouvons également négocier un mécanisme de confirmation via l'interaction du serveur.
Similaire : ajoutez les informations IP source à l'en-tête de la requête HTTP pour jugement. Puisqu'il s'agit d'un processus de communication entre serveurs, le faussaire ne peut pas connaître le contenu des informations spécifiques de la contrefaçon, donc une telle interaction est généralement fiable.
Processus logique de jugement
Serveur A : Ajoutez la variable MY_REALIP_c32fsjk234 => "1.2.3.4" à l'en-tête de la requête HTTP À ce stade, vous devez faire attention au fait que le nom de la variable ne doit pas être trop simple. , et il est préférable que les deux parties se mettent d'accord sur une clé aléatoire comme nom de variable, similaire à MY_REALIP_c32fsjk234
Acceptation du demandeur B : utilisez $_SERVER['MY_REALIP_c32fsjk234'] pour déterminer si l'en-tête de la requête contient la variable MY_REALIP_c32fsjk234. Si tel est le cas, obtenez. l'IP correspondante comme l'IP réelle.
Lien original : https://blog.csdn.net/panguangyuu/article/details/122211682
Lecture recommandée :
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!