一. 如何獲取用戶IP地址
public static function getClientIp()
{
if (getenv('HTTP_CLIENT_IP')) {
$ip = getenv('HTTP_CLIENT_IP');
}
if (getenv('HTTP_X_REAL_IP')) {
$ip = getenv('HTTP_X_REAL_IP');
} elseif (getenv('HTTP_X_FORWARDED_FOR')) {
$ip = getenv('HTTP_X_FORWARDED_FOR');
$ips = explode(',', $ip);
$ip = $ips[0];
} elseif (getenv('REMOTE_ADDR')) {
$ip = getenv('REMOTE_ADDR');
} else {
$ip = '0.0.0.0';
}
return $ip;
}
注意:
$_SERVER和getenv的區別�,getenv不支持IIS的isapi方式運行的php
getenv(“REMOTE_ADDR”)函數在 apache下能正常獲取ip地址�����,而在iis中沒有作用���,而$_SERVER['REMOTE_ADDR']函數�,既可在apache中成功獲取訪客的ip地址,在iis下也同樣有效
一、關于 REMOTE_ADDR
這個變量獲取到的是《直接來源》的 IP 地址�����,所謂《直接來源》指的是直接請求該地址的客戶端 IP �。這個 IP 在單服務器的情況下,很準確的是客戶端 IP ,無法偽造�����。當然并不是所有的程序都一定是單服務器�����,比如在采用負載均衡的情況(比如采用 haproxy 或者 nginx 進行負載均衡)���,這個 IP 就是轉發機器的 IP �����,因為過程是客戶端->負載均衡->服務端。是由負載均衡直接訪問的服務端而不是客戶端���。
二、關于 HTTP_X_FORWARDED_FOR 和 HTTP_CLIENT_IP
基于《一》���,在負載均衡的情況下直接使用 REMOTE_ADDR 是無法獲取客戶端 IP 的,這就是一個問題�,必須解決。于是就衍生出了負載均衡端將客戶端 IP 加入到 HEAD 中發送給服務端�����,讓服務端可以獲取到客戶端的真實 IP �����。當然也就產生了各位所說的偽造�����,畢竟 HEAD 除了協議里固定的那幾個數據,其他數據都是可自定義的�。
三�����、為何網上找到獲取客戶端 IP 的代碼都要依次獲取 HTTP_CLIENT_IP 、 HTTP_X_FORWARDED_FOR 和 REMOTE_ADDR
基于《一》和《二》以及對程序通用性的考慮���,所以才這樣做。 假設你在程序里直接寫死了 REMOTE_ADDR �,有一天你們的程序需要做負載均衡了�����,那么你有得改了。當然如果你想這么做也行���,看個人愛好和應用場景。也可以封裝一個只有 REMOTE_ADDR 的方法�����,等到需要的時候改這一個方法就行了�。
總結:
HTTP_CLIENT_IP: 頭是有的�����,只是未成標準���,不一定服務器都實現了�����。
X-Forwarded-For(XFF): 是用來識別通過HTTP代理或負載均衡方式連接到Web服務器的客戶端最原始的IP地址的HTTP請求頭字段, 格式:clientip,proxy1,proxy2
REMOTE_ADDR: 是可靠的�, 它是最后一個跟你的服務器握手的IP�����,可能是用戶的代理服務器�����,也可能是自己的反向代理。
X-Forwarded-For 和 X-Real-IP區別:
X-Forwarded-For是用于記錄代理信息的�����,每經過一級代理(匿名代理除外)���,代理服務器都會把這次請求的來源IP追加在X-Forwarded-For中, 而X-Real-IP�����,沒有相關標準, 其值在不同的代理環境不固定
關于此的更多討論可以參考:https://www.douban.com/group/topic/27482290/
1. 負載均衡情況:
生產環境中很多服務器隱藏在負載均衡節點后面�����,你通過REMOTE_ADDR只能獲取到負載均衡節點的ip地址���,一般的負載均衡節點會把前端實際的ip地址通過HTTP_CLIENT_IP或者HTTP_X_FORWARDED_FOR這兩種http頭傳遞過來�。
后端再去讀取這個值就是真實可信的,因為它是負載均衡節點告訴你的而不是客戶端。但當你的服務器直接暴露在客戶端前面的時候,請不要信任這兩種讀取方法�,只需要讀取REMOTE_ADDR就行了
2. CDN的情況:
所以對于我們獲取用戶的IP�,應該截取http_x_forwarded_for的第一個有效IP(非unknown)�����。
多層代理時���,和cdn方式類似���。
注意:
無論是REMOTE_ADDR還是HTTP_FORWARDED_FOR���,這些頭消息未必能夠取得到,因為不同的瀏覽器不同的網絡設備可能發送不同的IP頭消息
二. 防止IP注入攻擊
加入以下代碼防止IP注入攻擊:
// IP地址合法驗證, 防止通過IP注入攻擊
$long = sprintf("%u", ip2long($ip));
$ip = $long ? array($ip, $long) : array('0.0.0.0', 0);
一般獲取IP后更新到數據庫代碼如: $sql="update t_users set login_ip='".get_client_ip()."' where ..." �����,而如果接收到的ip地址是: xxx.xxx.xxx.xxx';delete from t_users;-- ,代入參數SQL語句就變成了: "update t_users set login_ip='xxx.xxx.xxx.xxx';delete from t_users;-- where ...
所以獲取IP地址后�����,務必使用正則等對IP地址的有效性進行驗證�,另外一定要使用參數化SQL命令
解析:
sprintf() 函數把格式化的字符串寫入變量中。
•%u - 不包含正負號的十進制數(大于等于 0)
int ip2long ( string $ip_address ) :
返回IP地址轉換后的數字 或 FALSE 如果 ip_address 是無效的。
注意 :
例子說明打印一個轉換后的地址使用 printf() 在PHP4和PHP5的功能:
?php
$ip = gethostbyname('www.example.com');
$long = ip2long($ip);
if ($long == -1 || $long === FALSE) {
echo 'Invalid IP, please try again';
} else {
echo $ip . "\n"; // 192.0.34.166
echo $long . "\n"; // -1073732954
printf("%u\n", ip2long($ip)); // 3221234342
}
?>
1. 因為PHP的 integer 類型是有符號,并且有許多的IP地址講導致在32位系統的情況下為負數�, 你需要使用 "%u" 進行轉換通過 sprintf() 或printf() 得到的字符串來表示無符號的IP地址�。
2. ip2long() 將返回 FALSE 在IP是 255.255.255.255 的情況�,版本為 PHP 5 = 5.0.2. 在修復后 PHP 5.0.3 會返回 -1 (與PHP4相同)
三. 防刷機制
對于獲取到IP后我們可以做一些防刷操作:
//ip限額
$ip = getClientIp();
$ipKey = "activity_key_{$ip}";
if (!frequencyCheckWithTimesInCache($ipKey, $duration, $limitTimes)) {
return false;
}
return true;
// 限制id,在$second時間內,最多請求$times次
public static function frequencyCheckWithTimesInCache($id, $second, $times)
{
$value = Yii::app()->cache->get($id);
if (!$value) {
$data[] = time();
Yii::app()->cache->set($id, json_encode($data), $second);
return true;
}
$data = json_decode($value, true);
if (count($data) + 1 = $times) {
$data[] = time();
Yii::app()->cache->set($id, json_encode($data), $second);
return true;
}
if (time() - $data[0] > $second) {
array_shift($data);
$data[] = time();
Yii::app()->cache->set($id, json_encode($data), $second);
return true;
}
return false;
}
舉例:
限制每小時請求不超過50次
if (!frequencyCheckWithTimesInCache('times_uid_' . $uid, 3600, 50)) {
return '請求過于頻繁';
}
防刷升級限制設備號:
//設備號 一個設備號最多只能抽獎3次
if(! empty($deviceId)){
$deviceUseChance = Yii::app()->db->createCommand()
->select('count(id)')->from('activity00167_log')
->where('device_id=:deviceId',['deviceId'=>$deviceId])
->queryScalar();
$deviceChance = 3 - $deviceUseChance;
}
對于獲取IP地址還可以在大數據分析用戶的地理位置�����,比如做一些精準投放等工作�����。
總結
以上所述是小編給大家介紹的php獲取用戶真實IP和防刷機制的實例代碼,希望對大家有所幫助�,如果大家有任何疑問請給我留言���,小編會及時回復大家的�。在此也非常感謝大家對腳本之家網站的支持�!
您可能感興趣的文章:- PHP 獲取客戶端 IP 地址的方法實例代碼
- 利用PHP獲取訪客IP、地區位置���、瀏覽器及來源頁面等信息
- PHP獲取用戶客戶端真實IP的解決方案
- PHP安裝GeoIP擴展根據IP獲取地理位置及計算距離的方法
- PHP獲取用戶訪問IP地址的5種方法
- 通過PHP實現獲取訪問用戶IP
