php获取用户真实IP和防刷机制

一. 如何获取用户IP地址

    public static function getClientIp()
    {
        if (getenv(‘HTTP_CLIENT_IP‘)) {
            $ip = getenv(‘HTTP_CLIENT_IP‘);
        }
        if (getenv(‘HTTP_X_REAL_IP‘)) {
            $ip = getenv(‘HTTP_X_REAL_IP‘);
        } elseif (getenv(‘HTTP_X_FORWARDED_FOR‘)) {
            $ip = getenv(‘HTTP_X_FORWARDED_FOR‘);
            $ips = explode(‘,‘, $ip);
            $ip = $ips[0];
        } elseif (getenv(‘REMOTE_ADDR‘)) {
            $ip = getenv(‘REMOTE_ADDR‘);
        } else {
            $ip = ‘0.0.0.0‘;
        }

        return $ip;
    }

注意:

$_SERVER和getenv的区别,getenv不支持IIS的isapi方式运行的phpgetenv(“REMOTE_ADDR”)函数在 apache下能正常获取ip地址,而在iis中没有作用,而$_SERVER[‘REMOTE_ADDR‘]函数,既可在apache中成功获取访客的ip地址,在iis下也同样有效
一、关于 REMOTE_ADDR
这个变量获取到的是《直接来源》的 IP 地址,所谓《直接来源》指的是直接请求该地址的客户端 IP 。这个 IP 在单服务器的情况下,很准确的是客户端 IP ,无法伪造。当然并不是所有的程序都一定是单服务器,比如在采用负载均衡的情况(比如采用 haproxy 或者 nginx 进行负载均衡),这个 IP 就是转发机器的 IP ,因为过程是客户端->负载均衡->服务端。是由负载均衡直接访问的服务端而不是客户端。

二、关于 HTTP_X_FORWARDED_FOR 和 HTTP_CLIENT_IP
基于《一》,在负载均衡的情况下直接使用 REMOTE_ADDR 是无法获取客户端 IP 的,这就是一个问题,必须解决。于是就衍生出了负载均衡端将客户端 IP 加入到 HEAD 中发送给服务端,让服务端可以获取到客户端的真实 IP 。当然也就产生了各位所说的伪造,毕竟 HEAD 除了协议里固定的那几个数据,其他数据都是可自定义的。

三、为何网上找到获取客户端 IP 的代码都要依次获取 HTTP_CLIENT_IP 、 HTTP_X_FORWARDED_FOR 和 REMOTE_ADDR
基于《一》和《二》以及对程序通用性的考虑,所以才这样做。 假设你在程序里直接写死了 REMOTE_ADDR ,有一天你们的程序需要做负载均衡了,那么你有得改了。当然如果你想这么做也行,看个人爱好和应用场景。也可以封装一个只有 REMOTE_ADDR 的方法,等到需要的时候改这一个方法就行了。

总结:

HTTP_CLIENT_IP: 头是有的,只是未成标准,不一定服务器都实现了。

X-Forwarded-For(XFF):  是用来识别通过HTTP代理负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段, 格式:clientip,proxy1,proxy2

REMOTE_ADDR: 是可靠的, 它是最后一个跟你的服务器握手的IP,可能是用户的代理服务器,也可能是自己的反向代理。

X-Forwarded-For 和 X-Real-IP区别:

X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中, 而X-Real-IP,没有相关标准, 其值在不同的代理环境不固定

关于此的更多讨论可以参考:https://www.douban.com/group/topic/27482290/

1. 负载均衡情况:

生产环境中很多服务器隐藏在负载均衡节点后面,你通过REMOTE_ADDR只能获取到负载均衡节点的ip地址,一般的负载均衡节点会把前端实际的ip地址通过HTTP_CLIENT_IP或者HTTP_X_FORWARDED_FOR这两种http头传递过来。

后端再去读取这个值就是真实可信的,因为它是负载均衡节点告诉你的而不是客户端。但当你的服务器直接暴露在客户端前面的时候,请不要信任这两种读取方法,只需要读取REMOTE_ADDR就行了

延伸阅读:一张图解释负载均衡

2. CDN的情况:

所以对于我们获取用户的IP,应该截取http_x_forwarded_for的第一个有效IP(非unknown)。

多层代理时,和cdn方式类似。

注意:

无论是REMOTE_ADDR还是HTTP_FORWARDED_FOR,这些头消息未必能够取得到,因为不同的浏览器不同的网络设备可能发送不同的IP头消息

二. 防止IP注入攻击

加入以下代码防止IP注入攻击:

// IP地址合法验证, 防止通过IP注入攻击
$long = sprintf("%u", ip2long($ip));
$ip = $long ? array($ip, $long) : array(‘0.0.0.0‘, 0);

一般获取IP后更新到数据库代码如: $sql="update t_users set login_ip=‘".get_client_ip()."‘ where ..." ,而如果接收到的ip地址是: xxx.xxx.xxx.xxx‘;delete from t_users;--  ,代入参数SQL语句就变成了: "update t_users set login_ip=‘xxx.xxx.xxx.xxx‘;delete from t_users;-- where ...

所以获取IP地址后,务必使用正则等对IP地址的有效性进行验证,另外一定要使用参数化SQL命令

解析:

sprintf() 函数把格式化的字符串写入变量中。

  • %u - 不包含正负号的十进制数(大于等于 0)

int ip2long ( string $ip_address ) :

返回IP地址转换后的数字 或 FALSE 如果 ip_address 是无效的。

注意 : 

例子说明打印一个转换后的地址使用 printf() 在PHP4和PHP5的功能:

<?php
$ip   = gethostbyname(‘www.example.com‘);
$long = ip2long($ip);

if ($long == -1 || $long === FALSE) {
    echo ‘Invalid IP, please try again‘;
} else {
    echo $ip   . "\n";           // 192.0.34.166
    echo $long . "\n";           // -1073732954
    printf("%u\n", ip2long($ip)); // 3221234342
}
?>

1. 因为PHP的 integer 类型是有符号,并且有许多的IP地址讲导致在32位系统的情况下为负数, 你需要使用 "%u" 进行转换通过 sprintf() 或printf() 得到的字符串来表示无符号的IP地址。

2. ip2long() 将返回 FALSE 在IP是 255.255.255.255 的情况,版本为 PHP 5 <= 5.0.2. 在修复后 PHP 5.0.3 会返回 -1 (与PHP4相同).

三. 防刷机制

对于获取到IP后我们可以做一些防刷操作:

//ip限额
$ip = getClientIp();
$ipKey = "activity_key_{$ip}";
if (!frequencyCheckWithTimesInCache($ipKey, $duration, $limitTimes)) {
    return false;
}
return true;
// 限制id,在$second时间内,最多请求$times次    

public static function frequencyCheckWithTimesInCache($id, $second, $times)
    {
        $value = Yii::app()->cache->get($id);
        if (!$value) {
            $data[] = time();
            Yii::app()->cache->set($id, json_encode($data), $second);

            return true;
        }
        $data = json_decode($value, true);
        if (count($data) + 1 <= $times) {
            $data[] = time();
            Yii::app()->cache->set($id, json_encode($data), $second);

            return true;
        }

        if (time() - $data[0] > $second) {
            array_shift($data);
            $data[] = time();
            Yii::app()->cache->set($id, json_encode($data), $second);

            return true;
        }

        return false;
    }

举例:

限制每小时请求不超过50次

if (!frequencyCheckWithTimesInCache(‘times_uid_‘ . $uid, 3600, 50)) {
            return ‘请求过于频繁‘;
        }

防刷升级限制设备号:

//设备号 一个设备号最多只能抽奖3次
        if(! empty($deviceId)){
                $deviceUseChance = Yii::app()->db->createCommand()
                    ->select(‘count(id)‘)->from(‘activity00167_log‘)
                    ->where(‘device_id=:deviceId‘,[‘deviceId‘=>$deviceId])
                    ->queryScalar();
                $deviceChance = 3 - $deviceUseChance;
        } 

对于获取IP地址还可以在大数据分析用户的地理位置,比如做一些精准投放等工作。



以上有理解不正确的欢迎指出讨论~

参考文章:

https://www.cnblogs.com/iteemo/p/5062291.html

https://segmentfault.com/q/1010000000686700

http://www.cnblogs.com/sochishun/p/7168860.html

原文地址:https://www.cnblogs.com/saysmy/p/10006762.html

时间: 2024-09-30 09:03:16

php获取用户真实IP和防刷机制的相关文章

java 获取用户真实ip

/** * 获取用户真实ip * @param request * @return */ public static String getIpAddr(HttpServletRequest request){ String ip = request.getHeader("x-forwarded-for"); if ((ip == null) || (ip.length() == 0) || ("unknown".equalsIgnoreCase(ip))) { ip

前端Nginx,后端Apache获取用户真实IP地址

Nginx作为前端,Apache作为后端的情况下,Apache只能获取到Nginx前端的内网ip地址(10.10.0.*),而无法获取到用户的真实ip地址,在这种情况下,后端是Apache如何获取用户真实IP地址? nginx 关键配置 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

Java中使用HttpRequest获取用户真实IP地址

1 import javax.servlet.http.HttpServletRequest; 2 3 /** 4 * 自定义访问对象工具类 5 * 6 * 获取对象的IP地址等信息 7 * @author X-rapido 8 * 9 */ 10 public class CusAccessObjectUtil { 11 12 /** 13 * 获取用户真实IP地址,不使用request.getRemoteAddr();的原因是有可能用户使用了代理软件方式避免真实IP地址, 14 * 16 *

php获取用户真实ip地址与地理位置

echo getcposition(getIP()); //获取用户真实ip function getIP() { if (isset($_SERVER)) { if (isset($_SERVER[HTTP_X_FORWARDED_FOR])) { $realip = $_SERVER[HTTP_X_FORWARDED_FOR]; } elseif (isset($_SERVER[HTTP_CLIENT_IP])) { $realip = $_SERVER[HTTP_CLIENT_IP]; }

获取用户真实IP:(模拟:客户端--F5--nginx--tomcat 后端获取用户真实IP)

模拟:客户端--F5--nginx--tomcat 后端获取用户真实IP 192.168.109.137 :nginx01(充当第一层代理==F5)192.168.109.138 :nginx02(二层代理,业务转发)192.168.109.139 :tomcat (后端业务层) 192.168.109.1 :客户端IP ----------------------------------------------------------------------------------------

ELK获取用户真实IP

原理:在filebeat这台服务器上的nginx中获取到客户端真实IP($clientRealIp),    然后在访问日志中添加"$clientRealIp"字段.1. 通过map获取到用户真实IP,并调整日志格式,增加$clientRealIp段http {        map $http_x_forwarded_for  $clientRealIp {        ""      $remote_addr;        ~^(?P<firstAdd

CDN下nginx获取用户真实IP地址

随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户的真实IP地址,如果后端是apache,请跳转到,如果是后端真实服务器是nginx,那么继续往下看. 实例环境: 用户IP 120.22.11.11 CDN前端 61.22.22.22 CDN中转 121.207.33.33 公司NGINX前端代理 192.168.50.121(外网121.207.

PHP获取用户真实IP地址

PHP获取客户端真实IP地址方法 在PHP获取客户端IP中常使用 $_SERVER["REMOTE_ADDR"] . (1) 但如果客户端是使用代理服务器来访问,那取到的是代理服务器的 IP 地址,而不是真正的客户端 IP 地址.要想透过代理服务器取得客户端的真实 IP 地址,就要使用 $_SERVER["HTTP_X_FORWARDED_FOR"] 来读取. (2) 但只有客户端使用“透明代理”的情况下,$_SERVER["HTTP_X_FORWARDE

docker内的服务无法获取用户真实IP

背景:MySQL数据库和Redis运行在宿主机上(Linux),server运行在docker内,web运行在Nginx内(Nginx运行在docker内),获取的用户IP为10.0.0.10类似的docker内部IP 需求:获取真实IP 方法: 一.修改Nginx配置文件,docker容器内[/etc/nginx/conf.d/default.conf] server { listen 80; server_name localhost; #charset koi8-r; #access_lo