переменные окружения — Как получить IP-адрес клиента в Stack Overflow

$_SERVER['REMOTE_ADDR'] может на самом деле не содержать реальных IP-адресов клиентов, так как он даст вам прокси-адрес для клиентов, подключенных через прокси, например. Это может
ну, будь тем, что ты действительно хочешь, хотя, в зависимости от того, что ты делаешь с IP. Чей-то частный адрес RFC1918 может не принести вам пользы, если вы говорите, пытаясь увидеть, откуда исходит ваш трафик, или вспоминая, с какого IP-адреса последний раз подключался пользователь, где публичный IP-адрес прокси-сервера или шлюза NAT может быть более целесообразно хранить.

Есть несколько заголовков HTTP, таких как X-Forwarded-For которые могут быть или не быть установлены различными прокси. Проблема в том, что это просто HTTP-заголовки, которые могут быть установлены любым пользователем. Там нет гарантии об их содержании. $_SERVER['REMOTE_ADDR'] фактический физический IP-адрес, с которого веб-сервер получил соединение и на который будет отправлен ответ. Все остальное — просто произвольная и добровольная информация. Есть только один сценарий, в котором вы можете доверять этой информации: вы управляете прокси-сервером, который устанавливает этот заголовок. Это означает, что только если вы знаете на 100%, где и как был установлен заголовок, вы должны обращать внимание на что-то важное.

Сказав это, вот пример кода:

if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
$ip = $_SERVER['REMOTE_ADDR'];
}

Примечание редактора: Использование приведенного выше кода имеет последствия для безопасности. Клиент может установить всю информацию заголовка HTTP (т.е. $_SERVER['HTTP_...) к любому произвольному значению, которое он хочет. Как таковой, он гораздо надежнее в использовании $_SERVER['REMOTE_ADDR'], так как это не может быть установлено пользователем.

От: http://roshanbh.com.np/2007/12/getting-real-ip-address-in-php.html

echo $_SERVER['REMOTE_ADDR'];

http://php.net/manual/en/reserved.variables.server.php

Вот более чистый пример кода, позволяющий получить IP-адрес пользователя.

$ip = $_SERVER['HTTP_CLIENT_IP']?$_SERVER['HTTP_CLIENT_IP']:($_SERVER['HTTP_X_FORWARDE‌​D_FOR']?$_SERVER['HTTP_X_FORWARDED_FOR']:$_SERVER['REMOTE_ADDR']);

Вот более короткая версия, в которой используется оператор elvis

$_SERVER['HTTP_CLIENT_IP']?:($_SERVER['HTTP_X_FORWARDE‌​D_FOR']?:$_SERVER['REMOTE_ADDR']);

Вот версия, которая использует isset для удаления уведомлений (спасибо, @shasi kanth)

$ip = isset($_SERVER['HTTP_CLIENT_IP'])?$_SERVER['HTTP_CLIENT_IP']:isset($_SERVER['HTTP_X_FORWARDED_FOR'])?$_SERVER['HTTP_X_FORWARDED_FOR']:$_SERVER['REMOTE_ADDR'];

Это должно содержаться в $_SERVER['REMOTE_ADDR'] переменная.

Мое любимое решение — способ, которым использует Zend Framework 2. Он также учитывает $_SERVER свойства HTTP_X_FORWARDED_FOR, HTTP_CLIENT_IP, REMOTE_ADDR но он объявляет класс для установки доверенных прокси и возвращает один IP-адрес, а не массив. Я думаю, что это решение, которое ближе всего к нему:

class RemoteAddress
{
/**
* Whether to use proxy addresses or not.
*
* As default this setting is disabled - IP address is mostly needed to increase
* security. HTTP_* are not reliable since can easily be spoofed. It can be enabled
* just for more flexibility, but if user uses proxy to connect to trusted services
* it's his/her own risk, only reliable field for IP address is $_SERVER['REMOTE_ADDR'].
*
* @var bool
*/
protected $useProxy = false;

/**
* List of trusted proxy IP addresses
*
* @var array
*/
protected $trustedProxies = array();

/**
* HTTP header to introspect for proxies
*
* @var string
*/
protected $proxyHeader = 'HTTP_X_FORWARDED_FOR';

// [...]

/**
* Returns client IP address.
*
* @return string IP address.
*/
public function getIpAddress()
{
$ip = $this->getIpAddressFromProxy();
if ($ip) {
return $ip;
}

// direct IP address
if (isset($_SERVER['REMOTE_ADDR'])) {
return $_SERVER['REMOTE_ADDR'];
}

return '';
}

/**
* Attempt to get the IP address for a proxied client
*
* @see http://tools.ietf.org/html/draft-ietf-appsawg-http-forwarded-10#section-5.2
* @return false|string
*/
protected function getIpAddressFromProxy()
{
if (!$this->useProxy
|| (isset($_SERVER['REMOTE_ADDR']) && !in_array($_SERVER['REMOTE_ADDR'], $this->trustedProxies))
) {
return false;
}

$header = $this->proxyHeader;
if (!isset($_SERVER[$header]) || empty($_SERVER[$header])) {
return false;
}

// Extract IPs
$ips = explode(',', $_SERVER[$header]);
// trim, so we can compare against trusted proxies properly
$ips = array_map('trim', $ips);
// remove trusted proxy IPs
$ips = array_diff($ips, $this->trustedProxies);

// Any left?
if (empty($ips)) {
return false;
}

// Since we've removed any known, trusted proxy servers, the right-most
// address represents the first IP we do not know about -- i.e., we do
// not know if it is a proxy server, or a client. As such, we treat it
// as the originating IP.
// @see http://en.wikipedia.org/wiki/X-Forwarded-For
$ip = array_pop($ips);
return $ip;
}

// [...]
}

Смотрите полный код здесь:
https://raw.githubusercontent.com/zendframework/zend-http/master/src/PhpEnvironment/RemoteAddress.php

За Интернетом находятся разные типы пользователей, поэтому мы хотим получать IP-адреса из разных частей. Это:

1. $_SERVER['REMOTE_ADDR'] —
Это содержит реальный IP-адрес клиента. Это самое надежное значение, которое вы можете найти у пользователя.

2. $_SERVER['REMOTE_HOST'] —
Это выберет имя хоста, с которого пользователь просматривает текущую страницу. Но для работы этого скрипта необходимо настроить поиск имени хоста внутри httpd.conf.

3. $_SERVER['HTTP_CLIENT_IP'] —
Это позволит получить IP-адрес, когда пользователь из общих интернет-сервисов.

4. $_SERVER['HTTP_X_FORWARDED_FOR'] — Это будет получать IP-адрес от пользователя, когда он / она находится за прокси-сервером.

Таким образом, мы можем использовать эту следующую комбинированную функцию, чтобы получить реальный IP-адрес от пользователей, которые просматривают в разных позициях,

// Function to get the user IP address
function getUserIP() {
$ipaddress = '';
if (isset($_SERVER['HTTP_CLIENT_IP']))
$ipaddress = $_SERVER['HTTP_CLIENT_IP'];
else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
$ipaddress = $_SERVER['HTTP_X_FORWARDED_FOR'];
else if(isset($_SERVER['HTTP_X_FORWARDED']))
$ipaddress = $_SERVER['HTTP_X_FORWARDED'];
else if(isset($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
$ipaddress = $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
else if(isset($_SERVER['HTTP_FORWARDED_FOR']))
$ipaddress = $_SERVER['HTTP_FORWARDED_FOR'];
else if(isset($_SERVER['HTTP_FORWARDED']))
$ipaddress = $_SERVER['HTTP_FORWARDED'];
else if(isset($_SERVER['REMOTE_ADDR']))
$ipaddress = $_SERVER['REMOTE_ADDR'];
else
$ipaddress = 'UNKNOWN';
return $ipaddress;
}

Это самый продвинутый метод, который я нашел, уже пробовал некоторые другие в прошлом. Действительно, чтобы получить IP-адрес посетителя (но учтите, что любой хакер может легко подделать IP-адрес).

function get_ip_address() {
// check for shared internet/ISP IP
if (!empty($_SERVER['HTTP_CLIENT_IP']) && validate_ip($_SERVER['HTTP_CLIENT_IP'])) {
return $_SERVER['HTTP_CLIENT_IP'];
}

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
// check if multiple ips exist in var
if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false) {
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip) {
if (validate_ip($ip))
return $ip;
}
} else {
if (validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
return $_SERVER['HTTP_X_FORWARDED_FOR'];
}
}
if (!empty($_SERVER['HTTP_X_FORWARDED']) && validate_ip($_SERVER['HTTP_X_FORWARDED']))
return $_SERVER['HTTP_X_FORWARDED'];
if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
return $_SERVER['HTTP_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_FORWARDED']) && validate_ip($_SERVER['HTTP_FORWARDED']))
return $_SERVER['HTTP_FORWARDED'];

// return unreliable ip since all else failed
return $_SERVER['REMOTE_ADDR'];
}

/**
* Ensures an ip address is both a valid IP and does not fall within
* a private network range.
*/
function validate_ip($ip) {
if (strtolower($ip) === 'unknown')
return false;

// generate ipv4 network address
$ip = ip2long($ip);

// if the ip is set and not equivalent to 255.255.255.255
if ($ip !== false && $ip !== -1) {
// make sure to get unsigned long representation of ip
// due to discrepancies between 32 and 64 bit OSes and
// signed numbers (ints default to signed in PHP)
$ip = sprintf('%u', $ip);
// do private network range checking
if ($ip >= 0 && $ip <= 50331647) return false;
if ($ip >= 167772160 && $ip <= 184549375) return false;
if ($ip >= 2130706432 && $ip <= 2147483647) return false;
if ($ip >= 2851995648 && $ip <= 2852061183) return false;
if ($ip >= 2886729728 && $ip <= 2887778303) return false;
if ($ip >= 3221225984 && $ip <= 3221226239) return false;
if ($ip >= 3232235520 && $ip <= 3232301055) return false;
if ($ip >= 4294967040) return false;
}
return true;
}

источник: http://blackbe.lt/advanced-method-to-obtain-the-client-ip-in-php/