2. 程式人生 > >PHP獲取IP地址的方法,防止偽造IP地址註入攻擊

PHP獲取IP地址的方法,防止偽造IP地址註入攻擊

阿新 發佈:2018-09-20
false online ESS -a null del known sdn 信息

原文:PHP獲取IP地址的方法,防止偽造IP地址註入攻擊

PHP獲取IP地址的方法

/**
 * 獲取客戶端IP地址
 * <br />來源:ThinkPHP
 * <br />"X-FORWARDED-FOR" 是代理服務器通過 HTTP Headers 提供的客戶端IP。代理服務器可以偽造任何IP。
 * <br />要防止偽造,不要讀這個IP即可(同時告訴用戶不要用HTTP 代理)。
 * @param integer $type 返回類型 0 返回IP地址 1 返回IPV4地址數字
 * @param boolean $adv 是否進行高級模式獲取(有可能被偽裝) 
 * @return mixed
 
 
*/
function get_client_ip($type = 0, $adv = false) {
    $type = $type ? 1 : 0;
    static $ip = NULL;
    if ($ip !== NULL)
        return $ip[$type];
    if ($adv) {
        if (isset($_SERVER[‘HTTP_X_FORWARDED_FOR‘])) {
            $arr = explode(‘,‘, $_SERVER[‘HTTP_X_FORWARDED_FOR‘]);
            
 
$pos = array_search(‘unknown‘, $arr);
            if (false !== $pos)
                unset($arr[$pos]);
            $ip = trim($arr[0]);
        }elseif (isset($_SERVER[‘HTTP_CLIENT_IP‘])) {
            $ip = $_SERVER[‘HTTP_CLIENT_IP‘];
        } elseif (isset($_SERVER[‘REMOTE_ADDR‘])) {
            
 
$ip = $_SERVER[‘REMOTE_ADDR‘];
        }
    } elseif (isset($_SERVER[‘REMOTE_ADDR‘])) {
        $ip = $_SERVER[‘REMOTE_ADDR‘];
    }
    // IP地址合法驗證, 防止通過IP註入攻擊
    $long = sprintf("%u", ip2long($ip));
    $ip = $long ? array($ip, $long) : array(‘0.0.0.0‘, 0);
    return $ip[$type];
}

/**
 * 獲得用戶的真實IP地址
 * <br />來源:ecshop
 * <br />$_SERVER和getenv的區別,getenv不支持IIS的isapi方式運行的php
 * @access  public
 * @return  string
 */
function real_ip() {
    static $realip = NULL;
    if ($realip !== NULL) {
        return $realip;
    }
    if (isset($_SERVER)) {
        if (isset($_SERVER[‘HTTP_X_FORWARDED_FOR‘])) {
            $arr = explode(‘,‘, $_SERVER[‘HTTP_X_FORWARDED_FOR‘]);
            /* 取X-Forwarded-For中第一個非unknown的有效IP字符串 */
            foreach ($arr AS $ip) {
                $ip = trim($ip);

                if ($ip != ‘unknown‘) {
                    $realip = $ip;

                    break;
                }
            }
        } elseif (isset($_SERVER[‘HTTP_CLIENT_IP‘])) {
            $realip = $_SERVER[‘HTTP_CLIENT_IP‘];
        } else {
            if (isset($_SERVER[‘REMOTE_ADDR‘])) {
                $realip = $_SERVER[‘REMOTE_ADDR‘];
            } else {
                $realip = ‘0.0.0.0‘;
            }
        }
    } else {
        if (getenv(‘HTTP_X_FORWARDED_FOR‘)) {
            $realip = getenv(‘HTTP_X_FORWARDED_FOR‘);
        } elseif (getenv(‘HTTP_CLIENT_IP‘)) {
            $realip = getenv(‘HTTP_CLIENT_IP‘);
        } else {
            $realip = getenv(‘REMOTE_ADDR‘);
        }
    }
    // 使用正則驗證IP地址的有效性,防止偽造IP地址進行SQL註入攻擊
    preg_match("/[\d\.]{7,15}/", $realip, $onlineip);
    $realip = !empty($onlineip[0]) ? $onlineip[0] : ‘0.0.0.0‘;
    return $realip;
}

X-Forwarded-For地址形式列舉:
unkonwn, unknown, 211.100.22.30
172.16.20.110, 202.116.64.196, 203.81.21.61
10.194.75.83, 10.194.73.11, 10.194.71.11, unknown
192.168.120.57, unknown, unknown, 211.10.10.195
unknown, 210.75.1.181
155.161.59.47, unknown

偽造IP地址進行註入攻擊:

IP偽造有幾種途徑,一種是通過是修改IP數據包,有興趣的可以去看看IP數據包的結構,還有一種就是利用修改http頭信息來實現IP偽造。涉及到“客戶端”IP的通常使用3個環境變量:$_SERVER[‘HTTP_CLIENT_IP‘]和$_SERVER[‘X_FORWARDED_FOR‘]還有$_SERVER[‘REMOTE_ADDR‘]實際上,這3個環境變量都有局限性。前兩個是可以隨意偽造。只要在發送的http頭裏設置相應值就可以,任意字符都可以,而第3個環境變量,如果用戶使用了匿名代理,那這個變量顯示的就是代理IP。
一般獲取IP後更新到數據庫代碼如:$sql="update t_users set login_ip=‘".get_client_ip()."‘ where ...",而如果接收到的ip地址是:xxx.xxx.xxx.xxx‘;delete from t_users;-- ,代入參數SQL語句就變成了:"update t_users set login_ip=‘xxx.xxx.xxx.xxx‘;delete from t_users;-- where ...
所以獲取IP地址後,務必使用正則等對IP地址的有效性進行驗證,另外一定要使用參數化SQL命令!

總結:

"X-FORWARDED-FOR" 是代理服務器通過 HTTP Headers 提供的客戶端IP。代理服務器可以偽造任何IP。
要防止偽造,不要讀這個IP即可(同時告訴用戶不要用HTTP 代理)。
如果是PHP,$_SERVER[‘REMOTE_ADDR‘] 就是跟你服務器直接連接的IP,用這個就可以了。

獲取服務器IP地址:

/**
 * 獲取服務端IP地址
 * @return string
 * @since 1.0 2016-7-1 SoChishun Added.
 */
function get_host_ip() {
    return isset($_SERVER[‘HTTP_X_FORWARDED_HOST‘]) ? $_SERVER[‘HTTP_X_FORWARDED_HOST‘] : (isset($_SERVER[‘HTTP_HOST‘]) ? $_SERVER[‘HTTP_HOST‘] : ‘‘);
}

參考文章:

http://www.cnblogs.com/skiplow/archive/2011/07/20/2111751.html (偽造IP地址進行SYN洪水攻擊)
http://www.feifeiboke.com/pcjishu/3391.html (你所不懂的火狐瀏覽器妙用之偽造IP地址)
https://segmentfault.com/q/1010000000095850#a-1020000000098537 (如何避免用戶訪問請求偽造ip)
http://blog.csdn.net/clh604/article/details/9234473 (PHP使用curl偽造IP地址和header信息)
http://www.cnblogs.com/lmule/archive/2010/10/15/1852020.html (REMOTE_ADDR,HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR)

版權聲明:本文采用署名-非商業性使用-相同方式共享(CC BY-NC-SA 3.0 CN)國際許可協議進行許可,轉載請註明作者及出處。
本文標題:PHP獲取IP地址的方法,防止偽造IP地址註入攻擊
本文鏈接:http://www.cnblogs.com/sochishun/p/7168860.html
本文作者:SoChishun (郵箱:14507247#qq.com | 博客:http://www.cnblogs.com/sochishun/)
發表日期:2017年7月14日

PHP獲取IP地址的方法,防止偽造IP地址註入攻擊

相關推薦

PHP獲取IP地址方法,防止偽造IP地址攻擊

false online ESS -a null del known sdn 信息 原文:PHP獲取IP地址的方法,防止偽造IP地址註入攻擊PHP獲取IP地址的方法 /** * 獲取客戶端IP地址 * <br />來源:ThinkPHP * &

php獲取手機端的號碼以及ip地址例項

我們在用PHP寫移動端程式的時候,有的時候需要直接獲取手機號碼以及對應的IP地址內容,在此我們給大家整理了詳細完整的PHP原始碼,需要的朋友們測試下。 <?php /** * 類名: mobile * 描述: 手機資訊類 * 其他:

PHP獲取真實客戶端的真實IP REMOTE_ADDR,HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR

REMOTE_ADDR 是你的客戶端跟你的伺服器“握手”時候的IP。如果使用了“匿名代理”,REMOTE_ADDR將顯示代理伺服器的IP。  HTTP_CLIENT_IP 是代理伺服器傳送的HTTP頭。如果是“超級匿名代理”,則返回none值。同樣,REMOTE_ADDR也會被替換為這個代

php獲取網頁內容方法

<?php $url = "http://www.jb51.net"; $contents = file_get_contents($url); //如果出現中文亂碼使用下面程式碼 //$getcontent = iconv("gb2312", "utf-8",$contents); echo

JavaScript、Java和PHP獲取前一個訪問頁面的URL地址

要獲取前一個訪問頁面的URL地址前後端語言都可以實現。 PHP          的是     $_SERVER['HTTP_REFERER'] JavaScript的是      document.referrer Java          則是     reque

Spring框架context的註解管理方法之二 使用註解對象屬性

.org es2017 swift package 自動 clas 找到 裝配 alt 首先還是xml的配置文件 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.spring

[經驗技巧] “php+mysql+apache”環境搭建及"手動SQL",20180527-0

版本 lin AC 旗艦 分號 正常 HERE sele primary [經驗技巧] “php+mysql+apache”環境搭建及"手動SQL註入" 1.“php+mysql+apache”環境搭建 環境載體:虛擬機Window7 Service Pack 1

SQL攻擊及其解決方法

優勢 相同 res 對象 數據庫服務器 指定 from eight 處理 SQL註入攻擊:   當程序中出現了SQL拼接時,當輸入的值為jack‘#或者‘jack‘ or ‘1=1時,會讓SQL語義發生改變,因為SQL語句中出現了SQL的關鍵字(# or 1=1),造成數據

ADO。Net(二)——防止SQL攻擊

多少 ext args create 查詢 屬性 匹配 拼接 註入 規避SQL註入 如果不規避,在黑窗口裏面輸入內容時利用拼接語句可以對數據進行攻擊 如:輸入Code值 p001‘ union select * from Info where ‘1‘=‘1

thinkphp 5.0 index.php被替換成首頁內容,被惡意代碼

linu 首頁 4.0 遇到 dmi php文件 load pro href 原TP項目是5.0.10,近日,在登錄後臺時,域名/admin,跳轉到網站首頁。無法進入後臺登錄頁面。然後發現,public/index.php竟然被改了。 先升級到5.0.24。還是被中槍。 後

PHP獲取使用者訪問IP地址的5種方法

if ($HTTP_SERVER_VARS["HTTP_X_FORWARDED_FOR"]) {     $ip = $HTTP_SERVER_VARS["HTTP_X_FORWARDED_FOR"]; } elseif ($HTTP_SERVER_VARS["HTTP_CLIENT_IP"]) {    

PHP 通過ip獲取國家及地址方法集合

一、通過http請求淘寶和新浪的介面進行線上查詢 優點:呼叫簡單方便程式碼量少   缺點:在無網路的情況下無法查詢。 print_r(get_area('223.67.235.28')); function get_area($ip = ''){ if($ip =

php獲取客戶端真實ip地址的三種方法

php獲取使用者(客戶端)真實IP地址的兩種方法 第一種方法,還算靠譜,本人以前一直用的是這個方法: function get_real_ip(){ $ip=false; if(!empty($_SERVER['HTTP_CL

PHP 獲取請求接口的IP地址

獲取ip 地址function GetIP(){ if(!empty($_SERVER["HTTP_CLIENT_IP"])){ $cip = $_SERVER["HTTP_CLIENT_IP"]; } elseif(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))

PHP獲取IP方法

span family sof font rem http _for 獲取ip for $_SERVER["REMOTE_ADDR"]或 $_SERVER["CLIENT_IP"]或 $_SERVER["HTTP_X_FORWARED_FOR"] PHP獲取IP的方法

PHP獲取用戶的真實IP地址

forward blog php tip class int rem for lang 本文出至:新太潮流網絡博客 PHP獲取用戶的真實IP地址,非代理IP function getClientIP(){ global $ip; if(geten

PHP 獲取ip地址

get _for getenv 獲取ip ret style color ip地址 nbsp public function getIP() { if (getenv("HTTP_CLIENT_IP")) $ip = get

PHP獲取客戶端IP地址,服務器IP地址

客戶端 get sse spa gets static p地址 tip sta ============================================獲取客戶端IP==============================================

php獲取ip地址-完整版

/** * @Explain: 獲取IP地址 */ function getIP(){ if ($HTTP_SERVER_VARS["HTTP_X_FORWARDED_FOR"]) { $ip = $HTTP_SERVER_VARS["HTTP_X_FORWARDED_F

PHP 獲取客戶端 IP 地址

先來了解一個變數的含義: $_SERVER['REMOTE_ADDR']:瀏覽當前頁面的使用者計算機的ip地址 $_SERVER['HTTP_CLIENT_IP']:客戶端的ip $_SERVER['HTTP_X_FORWARDED_FOR']:瀏覽當前頁面的使用者計算機的閘道器