1. PHP 如何获取当前 IP?

想象一下,你在寄信时需要填写收件人的地址(IP 地址)。在 PHP 中,我们可以通过读取 HTTP 请求中的信息来获取用户的 IP 地址。

(1) 获取 IP 的方法

  • $_SERVER 超全局变量

    • $_SERVER['REMOTE_ADDR']:直接获取客户端的 IP 地址。
    • $_SERVER['HTTP_X_FORWARDED_FOR']:如果用户通过代理服务器访问,可能会包含真实的 IP 地址。
    • $_SERVER['HTTP_CLIENT_IP']:某些情况下也可能包含客户端的 IP 地址。
  • 代码示例

1

2

3

4

5

6

7

8

9

10

11

12

13

14

function getUserIP() {

    // 检查是否有代理服务器传递的真实 IP

    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {

        $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];

    } elseif (!empty($_SERVER['HTTP_CLIENT_IP'])) {

        $ip = $_SERVER['HTTP_CLIENT_IP'];

    } else {

        // 直接获取客户端 IP

        $ip = $_SERVER['REMOTE_ADDR'];

    }

    return $ip;

}

echo "Your IP address is: " . getUserIP();

(2) 注意事项

  • 安全性
    • $_SERVER['HTTP_X_FORWARDED_FOR'] 和 $_SERVER['HTTP_CLIENT_IP'] 可能被伪造,因此需要验证其合法性。
  • 代理服务器
    • 如果用户通过代理服务器访问,$_SERVER['REMOTE_ADDR'] 返回的是代理服务器的 IP,而不是用户的真实 IP。

2. 使用场景是什么?

(1) 用户行为分析

  • 场景:记录用户的访问日志,分析用户来源。
  • 示例:

1

2

$ip = getUserIP();

file_put_contents('access.log', "User IP: $ip accessed at " . date('Y-m-d H:i:s') . "\n", FILE_APPEND);

(2) 安全防护

  • 场景:限制某些 IP 访问敏感页面。
  • 示例:

1

2

3

4

5

6

$allowed_ips = ['192.168.1.1', '127.0.0.1'];

$user_ip = getUserIP();

if (!in_array($user_ip, $allowed_ips)) {

    die("Access denied for IP: $user_ip");

}

(3) 地理位置定位

  • 场景:根据 IP 地址获取用户的地理位置。
  • 示例:

1

2

3

4

5

$ip = getUserIP();

$geo_data = file_get_contents("http://ip-api.com/json/$ip");

$geo_data = json_decode($geo_data, true);

echo "You are visiting from: " . $geo_data['city'] . ", " . $geo_data['country'];

3. 底层原理是什么?

(1) HTTP 协议与 IP 地址

  • 当用户通过浏览器访问网站时,HTTP 请求会携带一些元信息,包括客户端的 IP 地址。
  • 这些信息由 Web 服务器(如 Apache、Nginx)解析后存入 $_SERVER 超全局变量中。

(2) $_SERVER 的来源

  • REMOTE_ADDR
    • 由 Web 服务器直接获取客户端的 IP 地址。
    • 这是最可靠的来源,但可能受代理服务器影响。
  • HTTP_X_FORWARDED_FOR
    • 如果用户通过代理服务器或负载均衡器访问,代理服务器会将原始 IP 添加到请求头中。
    • 格式通常是:真实 IP, 代理 IP1, 代理 IP2
  • HTTP_CLIENT_IP
    • 某些代理服务器会将客户端 IP 放入此字段。

(3) 代理服务器的影响

  • 正向代理
    • 用户通过代理服务器访问目标服务器,目标服务器只能看到代理服务器的 IP。
  • 反向代理
    • 目标服务器前面有一个反向代理(如 Nginx),反向代理会将客户端的 IP 转发给后端服务器。

(4) 验证 IP 的合法性

  • 过滤非法字符
    • 确保 IP 地址符合正确的格式(如 IPv4 或 IPv6)。
  • 防止伪造
    • 检查 HTTP_X_FORWARDED_FOR 是否包含多个 IP,并提取第一个有效 IP。

4. 图示说明

(1) HTTP 请求中的 IP 信息

1

2

客户端 -> 代理服务器 -> Web 服务器

          (HTTP_X_FORWARDED_FOR)

  • 客户端的真实 IP 存储在 HTTP_X_FORWARDED_FOR 中。
  • Web 服务器看到的 IP 是代理服务器的 IP(REMOTE_ADDR)。

更多推荐