一. 如何獲取用戶IP地址

 public static function getClientIp()
 {
 if (getenv('HTTP_CLIENT_IP')) {
  $ip = getenv('HTTP_CLIENT_IP');
 }
 if (getenv('HTTP_X_REAL_IP')) {
  $ip = getenv('HTTP_X_REAL_IP');
 } elseif (getenv('HTTP_X_FORWARDED_FOR')) {
  $ip = getenv('HTTP_X_FORWARDED_FOR');
  $ips = explode(',', $ip);
  $ip = $ips[0];
 } elseif (getenv('REMOTE_ADDR')) {
  $ip = getenv('REMOTE_ADDR');
 } else {
  $ip = '0.0.0.0';
 }

 return $ip;
 }

 注意：

$_SERVER和getenv的區(qū)別，getenv不支持IIS的isapi方式運(yùn)行的php
getenv(“REMOTE_ADDR”)函數(shù)在 apache下能正常獲取ip地址，而在iis中沒有作用，而$_SERVER['REMOTE_ADDR']函數(shù)，既可在apache中成功獲取訪客的ip地址，在iis下也同樣有效

一、關(guān)于 REMOTE_ADDR

這個(gè)變量獲取到的是《直接來源》的 IP 地址，所謂《直接來源》指的是直接請(qǐng)求該地址的客戶端 IP 。這個(gè) IP 在單服務(wù)器的情況下，很準(zhǔn)確的是客戶端 IP ，無法偽造。當(dāng)然并不是所有的程序都一定是單服務(wù)器，比如在采用負(fù)載均衡的情況（比如采用 haproxy 或者 nginx 進(jìn)行負(fù)載均衡），這個(gè) IP 就是轉(zhuǎn)發(fā)機(jī)器的 IP ，因?yàn)檫^程是客戶端->負(fù)載均衡->服務(wù)端。是由負(fù)載均衡直接訪問的服務(wù)端而不是客戶端。

二、關(guān)于 HTTP_X_FORWARDED_FOR 和 HTTP_CLIENT_IP
基于《一》，在負(fù)載均衡的情況下直接使用 REMOTE_ADDR 是無法獲取客戶端 IP 的，這就是一個(gè)問題，必須解決。于是就衍生出了負(fù)載均衡端將客戶端 IP 加入到 HEAD 中發(fā)送給服務(wù)端，讓服務(wù)端可以獲取到客戶端的真實(shí) IP 。當(dāng)然也就產(chǎn)生了各位所說的偽造，畢竟 HEAD 除了協(xié)議里固定的那幾個(gè)數(shù)據(jù)，其他數(shù)據(jù)都是可自定義的。

三、為何網(wǎng)上找到獲取客戶端 IP 的代碼都要依次獲取 HTTP_CLIENT_IP 、 HTTP_X_FORWARDED_FOR 和 REMOTE_ADDR
基于《一》和《二》以及對(duì)程序通用性的考慮，所以才這樣做。 假設(shè)你在程序里直接寫死了 REMOTE_ADDR ，有一天你們的程序需要做負(fù)載均衡了，那么你有得改了。當(dāng)然如果你想這么做也行，看個(gè)人愛好和應(yīng)用場(chǎng)景。也可以封裝一個(gè)只有 REMOTE_ADDR 的方法，等到需要的時(shí)候改這一個(gè)方法就行了。

總結(jié)：

HTTP_CLIENT_IP: 頭是有的，只是未成標(biāo)準(zhǔn)，不一定服務(wù)器都實(shí)現(xiàn)了。

X-Forwarded-For（XFF）:  是用來識(shí)別通過HTTP代理或負(fù)載均衡方式連接到Web服務(wù)器的客戶端最原始的IP地址的HTTP請(qǐng)求頭字段, 格式：clientip,proxy1,proxy2

REMOTE_ADDR: 是可靠的， 它是最后一個(gè)跟你的服務(wù)器握手的IP，可能是用戶的代理服務(wù)器，也可能是自己的反向代理。

X-Forwarded-For 和 X-Real-IP區(qū)別：

X-Forwarded-For是用于記錄代理信息的，每經(jīng)過一級(jí)代理(匿名代理除外)，代理服務(wù)器都會(huì)把這次請(qǐng)求的來源IP追加在X-Forwarded-For中, 而X-Real-IP，沒有相關(guān)標(biāo)準(zhǔn), 其值在不同的代理環(huán)境不固定

關(guān)于此的更多討論可以參考：https://www.douban.com/group/topic/27482290/

1. 負(fù)載均衡情況：

生產(chǎn)環(huán)境中很多服務(wù)器隱藏在負(fù)載均衡節(jié)點(diǎn)后面，你通過REMOTE_ADDR只能獲取到負(fù)載均衡節(jié)點(diǎn)的ip地址，一般的負(fù)載均衡節(jié)點(diǎn)會(huì)把前端實(shí)際的ip地址通過HTTP_CLIENT_IP或者HTTP_X_FORWARDED_FOR這兩種http頭傳遞過來。

后端再去讀取這個(gè)值就是真實(shí)可信的，因?yàn)樗秦?fù)載均衡節(jié)點(diǎn)告訴你的而不是客戶端。但當(dāng)你的服務(wù)器直接暴露在客戶端前面的時(shí)候，請(qǐng)不要信任這兩種讀取方法，只需要讀取REMOTE_ADDR就行了

2. CDN的情況：

所以對(duì)于我們獲取用戶的IP，應(yīng)該截取http_x_forwarded_for的第一個(gè)有效IP(非unknown)。

多層代理時(shí)，和cdn方式類似。

注意：

無論是REMOTE_ADDR還是HTTP_FORWARDED_FOR，這些頭消息未必能夠取得到,因?yàn)椴煌臑g覽器不同的網(wǎng)絡(luò)設(shè)備可能發(fā)送不同的IP頭消息

 二. 防止IP注入攻擊

加入以下代碼防止IP注入攻擊：

// IP地址合法驗(yàn)證, 防止通過IP注入攻擊
$long = sprintf("%u", ip2long($ip));
$ip = $long ? array($ip, $long) : array('0.0.0.0', 0);

一般獲取IP后更新到數(shù)據(jù)庫代碼如： $sql="update t_users set login_ip='".get_client_ip()."' where ..." ，而如果接收到的ip地址是： xxx.xxx.xxx.xxx';delete from t_users;--  ，代入?yún)?shù)SQL語句就變成了： "update t_users set login_ip='xxx.xxx.xxx.xxx';delete from t_users;-- where ...

所以獲取IP地址后，務(wù)必使用正則等對(duì)IP地址的有效性進(jìn)行驗(yàn)證，另外一定要使用參數(shù)化SQL命令

 解析：

sprintf() 函數(shù)把格式化的字符串寫入變量中。
•%u - 不包含正負(fù)號(hào)的十進(jìn)制數(shù)（大于等于 0）

int ip2long ( string $ip_address ) :

返回IP地址轉(zhuǎn)換后的數(shù)字 或 FALSE 如果 ip_address 是無效的。

注意 :

例子說明打印一個(gè)轉(zhuǎn)換后的地址使用 printf() 在PHP4和PHP5的功能:

?php
$ip = gethostbyname('www.example.com');
$long = ip2long($ip);
if ($long == -1 || $long === FALSE) {
 echo 'Invalid IP, please try again';
} else {
 echo $ip . "\n";  // 192.0.34.166
 echo $long . "\n";  // -1073732954
 printf("%u\n", ip2long($ip)); // 3221234342
}
?>

1. 因?yàn)镻HP的 integer 類型是有符號(hào)，并且有許多的IP地址講導(dǎo)致在32位系統(tǒng)的情況下為負(fù)數(shù)， 你需要使用 "%u" 進(jìn)行轉(zhuǎn)換通過 sprintf() 或printf() 得到的字符串來表示無符號(hào)的IP地址。

2. ip2long() 將返回 FALSE 在IP是 255.255.255.255 的情況，版本為 PHP 5 = 5.0.2. 在修復(fù)后 PHP 5.0.3 會(huì)返回 -1 (與PHP4相同)

三. 防刷機(jī)制

對(duì)于獲取到IP后我們可以做一些防刷操作：

//ip限額
$ip = getClientIp();
$ipKey = "activity_key_{$ip}";
if (!frequencyCheckWithTimesInCache($ipKey, $duration, $limitTimes)) {
 return false;
}
return true;

// 限制id，在$second時(shí)間內(nèi)，最多請(qǐng)求$times次 

public static function frequencyCheckWithTimesInCache($id, $second, $times)
 {
 $value = Yii::app()->cache->get($id);
 if (!$value) {
  $data[] = time();
  Yii::app()->cache->set($id, json_encode($data), $second);

  return true;
 }
 $data = json_decode($value, true);
 if (count($data) + 1 = $times) {
  $data[] = time();
  Yii::app()->cache->set($id, json_encode($data), $second);

  return true;
 }

 if (time() - $data[0] > $second) {
  array_shift($data);
  $data[] = time();
  Yii::app()->cache->set($id, json_encode($data), $second);

  return true;
 }

 return false;
 }

舉例：

限制每小時(shí)請(qǐng)求不超過50次

if (!frequencyCheckWithTimesInCache('times_uid_' . $uid, 3600, 50)) {
  return '請(qǐng)求過于頻繁';
 }

防刷升級(jí)限制設(shè)備號(hào)：

//設(shè)備號(hào) 一個(gè)設(shè)備號(hào)最多只能抽獎(jiǎng)3次
 if(! empty($deviceId)){
  $deviceUseChance = Yii::app()->db->createCommand()
   ->select('count(id)')->from('activity00167_log')
   ->where('device_id=:deviceId',['deviceId'=>$deviceId])
   ->queryScalar();
  $deviceChance = 3 - $deviceUseChance;
 }

對(duì)于獲取IP地址還可以在大數(shù)據(jù)分析用戶的地理位置，比如做一些精準(zhǔn)投放等工作。

總結(jié)

以上所述是小編給大家介紹的php獲取用戶真實(shí)IP和防刷機(jī)制的實(shí)例代碼，希望對(duì)大家有所幫助，如果大家有任何疑問請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！