你真的了解 IP 吗，PHP 如何严格获取真实用户 IP？

PHP里用来获取客户端IP的变量有这些:

• $_SERVER['HTTP_CLIENT_IP']这个头是有的，但是很少，不一定服务器都实现了。客户端可以伪造。

• $_SERVER['HTTP_X_FORWARDED_FOR'] 是有标准定义，用来识别经过HTTP代理后的客户端IP地址，格式：clientip,proxy1,proxy2。详细解释见 http://zh.wikipedia.org/wiki/X-Forwarded-F...。 客户端可以伪造。

• $_SERVER['REMOTE_ADDR'] 是可靠的， 它是最后一个跟你的服务器握手的IP，可能是用户的代理服务器，也可能是自己的反向代理。客户端不能伪造。

  客户端可以伪造的参数必须过滤和验证！很多人以为$_SERVER变量里的东西都是可信的，其实并不不然，$_SERVER['HTTP_CLIENT_IP']和$_SERVER['HTTP_X_FORWARDED_FOR']都来自客户端请求的header里面。

如果要严格获取用户真实ip

在反爬虫，防刷票的时候，客户端可以伪造的东西，我们一律不信任，此为严格获取。

1. 没有套CDN，用户直连我们的PHP服务器

   这种情况下用tcp层握手的ip，$_SERVER['REMOTE_ADDR']

2. 自建集群用nginx实现负载均衡的时候

   这种情况下，PHP应用服务器不能对外暴露，我们在nginx中实现获取真实IP再换发给PHP服务器。

   location /{
      proxy_set_header client-real-ip $remote_addr;
   }

   client-real-ip 可以随意自己命名，我们将tcp层中跟nginx握手的ip转发给PHP。

3. 使用CDN，从PHP服务器取源的时候

   CDN会转发客户端的握手ip过来，各家策略有差异，具体去查CDN的文档。

   当然我们也可以把需要严格核查的业务绑一个二级域名，单独走我们自己的nginx服务器，避开CDN。

如果要宽松获取用户ip

这种情况比较简单，也是大部分开源程序使用的方式，因为他们要适应最广泛的部署环境，
依次获取和过滤，$_SERVER['HTTP_CLIENT_IP']，$_SERVER['HTTP_X_FORWARDED_FOR']的第一个ip，$_SERVER['REMOTE_ADDR']，谁先有值先用谁。注意这种方式，客户端可以提交假ip来欺骗服务器。

PHP如何验证和过滤客户端提交过来的ip

推荐使用PHP自带的过滤器，http://php.net/manual/zh/function.filter-v...

$ip = filter_var($originIp, FILTER_VALIDATE_IP)

一点小技巧

我们存IP到数据库的时候可以使用ip2long()把ip地址转换成数字，搜索和排序可以更快。要显示到前端的时候再long2ip()转换回来

博客：https://gargantuax.github.io/blog/2017-02/...