1. ホーム
  2. php

[解決済み】PHPでユーザーの正しいIPアドレスを取得する最も正確な方法は何ですか?

2022-03-27 08:37:30

質問

が山ほどあるのは知っています。 $_SERVER 変数ヘッダは、IPアドレスの検索に利用できます。この変数を使用して、ユーザーの実際のIPアドレスを最も正確に取得する方法について、一般的なコンセンサスがあるのかどうか疑問に思っています(完璧な方法がないことは承知の上で)。

私は深い解決策を見つけるために時間を費やし、多くのソースに基づいて、次のコードを思いついた。私は誰かが答えの穴を突くか、おそらくより正確な何かについていくつかの光を与えてくれるならば、私はそれを愛する。

edit includes optimizations from @Alix

 /**
  * Retrieves the best guess of the client's actual IP address.
  * Takes into account numerous HTTP proxy headers due to variations
  * in how different ISPs handle IP addresses in headers between hops.
  */
 public function get_ip_address() {
  // Check for shared internet/ISP IP
  if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
   return $_SERVER['HTTP_CLIENT_IP'];

  // Check for IPs passing through proxies
  if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
   // Check if multiple IP addresses exist in var
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    foreach ($iplist as $ip) {
     if ($this->validate_ip($ip))
      return $ip;
    }
   }
  }
  if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
   return $_SERVER['HTTP_X_FORWARDED'];
  if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
   return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
  if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
   return $_SERVER['HTTP_FORWARDED_FOR'];
  if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
   return $_SERVER['HTTP_FORWARDED'];

  // Return unreliable IP address since all else failed
  return $_SERVER['REMOTE_ADDR'];
 }

 /**
  * Ensures an IP address is both a valid IP address and does not fall within
  * a private network range.
  *
  * @access public
  * @param string $ip
  */
 public function validate_ip($ip) {
     if (filter_var($ip, FILTER_VALIDATE_IP, 
                         FILTER_FLAG_IPV4 | 
                         FILTER_FLAG_IPV6 |
                         FILTER_FLAG_NO_PRIV_RANGE | 
                         FILTER_FLAG_NO_RES_RANGE) === false)
         return false;
     self::$ip = $ip;
     return true;
 }

注意喚起の言葉(更新)

REMOTE_ADDR をまだ表しています。 最も信頼できる は、IPアドレスのソースとなります。その他の $_SERVER ここで述べた変数は、リモートクライアントによって非常に簡単になりすますことができます。このソリューションの目的は、プロキシの後ろにいるクライアントの IP アドレスを決定することです。一般的な目的では、この方法と $_SERVER['REMOTE_ADDR'] とし、両方を保存する。

99.9%のユーザーにとって、このソリューションはニーズに完全に合致しています。 しかし、独自のリクエストヘッダを注入してシステムを悪用しようとする0.1%の悪質なユーザーからあなたを守ることはできません。もし、ミッションクリティカルなことを IP アドレスに依存するのであれば、次のような手段をとってください。 REMOTE_ADDR そして、プロキシの後ろにいる人たちのためにわざわざ便宜を図る必要はありません。

解決するには?

ここでは、より短く、よりきれいにIPアドレスを取得する方法を紹介します。

function get_ip_address(){
    foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key){
        if (array_key_exists($key, $_SERVER) === true){
            foreach (explode(',', $_SERVER[$key]) as $ip){
                $ip = trim($ip); // just to be safe

                if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false){
                    return $ip;
                }
            }
        }
    }
}


あなたのコードはすでにかなり完成されているようで、考えられるバグは見当たりません(通常のIPに関する注意点は別として)。 validate_ip() 関数は、フィルタ拡張に依存するようになりました。

public function validate_ip($ip)
{
    if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) === false)
    {
        return false;
    }

    self::$ip = sprintf('%u', ip2long($ip)); // you seem to want this

    return true;
}

また、あなたの HTTP_X_FORWARDED_FOR のスニペットは、ここから簡略化することができます。

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    // check if multiple ips exist in var
    if (strpos($_SERVER['HTTP_X_FORWARDED_FOR'], ',') !== false)
    {
        $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        
        foreach ($iplist as $ip)
        {
            if ($this->validate_ip($ip))
                return $ip;
        }
    }
    
    else
    {
        if ($this->validate_ip($_SERVER['HTTP_X_FORWARDED_FOR']))
            return $_SERVER['HTTP_X_FORWARDED_FOR'];
    }
}

これに

// check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
    $iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        
    foreach ($iplist as $ip)
    {
        if ($this->validate_ip($ip))
            return $ip;
    }
}

また、IPv6アドレスの検証を行いたい場合もあります。