• 分析過程

這個來自一些專案中，獲取使用者Ip，進行使用者操作行為的記錄，是常見並且經常使用的。 一般朋友，都會看到如下通用獲取IP地址方法。

function getIP() { 
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { 
        $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; 
    } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) { 
        $realip = $_SERVER['HTTP_CLIENT_IP']; 
    } else { 
        $realip = $_SERVER['REMOTE_ADDR']; 
        } 
        return $realip; 
    }

這個是網上常見獲取，ip函式，用這些值獲取IP,我們首先要弄清楚，這些資料是從那個地方傳過來的。

• IP獲取來源

1.’REMOTE_ADDR’  是遠端IP，預設來自tcp 連線是，客戶端的Ip。可以說，它最準確，確定是，只會得到直接連伺服器客戶端IP。如果對方通過代理伺服器上網，就發現。獲取到的是代理伺服器IP了。

如：a->b(proxy)->c  ,如果c 通過’REMOTE_ADDR’ ，只能獲取到b的IP,獲取不到a的IP了。

另外:該IP想篡改將很難實現，在傳遞知道生成php server值，都是直接生成的。

2.’HTTP_X_FORWARDED_FOR’，’HTTP_CLIENT_IP’ 為了能在大型網路中，獲取到最原始使用者IP，或者代理IP地址。對HTTp協議進行擴充套件。定義了實體頭。

HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2  所有IP用”,”分割。 HTTP_CLIENT_IP 在高階匿名代理中，這個代表了代理伺服器IP。既然是http協議擴充套件一個實體頭，並且這個值對於傳入端是信任的，信任傳入方按照規則格式輸入的。以下以x_forword_for例子加以說明，正常情況下，這個值變化過程。

• 分析Bug風險點：

通過剛剛分析我們發現，其實這些變數，來自http請求的：x-forword-for欄位，以及client-ip欄位。 正常代理伺服器，當然會按rfc規範來傳入這些值。但是，當一個使用者直接構造該x-forword-for值，傳送給使用者使用者，那將會怎麼樣呢？

圖（1）

第2步，修改x-forword-fox值，我們看看結果

第三步，我們再修改下看看會怎麼樣？

哈哈，看到上面結果沒，x-forwarded-for不光可以自己設定值，而且可以設定任意格式值。 這樣一來，好比就直接有一個可以寫入任意值的欄位。並且伺服器直接讀取，或者寫入資料庫，或者做顯示。它將帶來危險性，跟一般對入輸入沒有做任何過濾檢測，之間操作資料來源結果一樣。 並且容易帶來隱蔽性。

• 結論：

上面getip函式，除了客戶端可以任意偽造IP，並且可以傳入任意格式IP。 這樣結果會帶來2大問題，其一，如果你設定某個頁面，做IP限制。 對方可以容易修改IP不斷請求該頁面。 其二，這類資料你如果直接使用，將帶來SQL註冊，跨站攻擊等漏洞。至於其一，可以在業務上面做限制，最好不採用IP限制。 對於其二，這類可以帶來巨大網路風險。我們必須加以糾正。

需要對getip 進行修改，得到安全的getip函式。

這類問題，其實很容易出現，以前我就利用這個騙取了大量偽裝投票。有它的隱蔽性，其實只要我們搞清楚了，某些值來龍去脈的話。理解了它的原理，修復該類bug將是非常容易。

題外話，做技術，有三步，先要會做，會解決；後要思考為什麼要這麼做，原因原理是什麼；最後是怎麼樣做，有沒有其它方法。多問問自己，你發現距離技術真理越來越近。你做事會越來越得心應手的！

我們已經意 識到直接從http_x_forwarded_for中讀取使用者IP，跟我們直接從一個get,post值中讀取其實沒有兩樣。web引數檢測裡面一個基本原則：“一切輸入都是有害的”，因此，只要是輸入我們就需要進行過濾。

• 安全過濾後的getIP函式

  function getIP() {
    $realip = ''; //設定預設值
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $realip = $_SERVER['HTTP_X_FORWARDED_FOR'];
    } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
        $realip = $_SERVER['HTTP_CLIENT_IP'];
    } else {
        $realip = $_SERVER['REMOTE_ADDR'];
    }

    preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/',$realip,$match);
    return $match?$match[0]:false;
}

以上函式，增加了IP判斷，只會讀取以Ip格式資料開頭，並且第一個滿足IP格式值。如果沒有返回false。 這樣就可以讀取到滿足格式的IP，驗證了資料的IP格式。

• 如果我讀取網際網路的IP，使用者傳入區域網的IP，我應該直接過濾掉

我們在一些網站上面，經常可以看到提示，非法的IP地址，其實一部分是IP地址格式錯誤，一部分可能是讀取到IP地址，不滿足網際網路上面允許IP格式。 以下這個函式，是通過IANA站點規範，封裝了個函式。 通過輸入IP地址，能夠準確知道，該IP是不是可以在網際網路應用。

//網際網路允許使用IP地址

function ipType2($ip) {
    $iplist = explode(".", $ip);

    if ($iplist[0] &gt;= 224 &amp;&amp; $iplist[0] <= 239)
        return '多播';
    if ($iplist[0] &gt;= 240 &amp;&amp; $iplist[0] <= 255)
        return '保留';

    if (preg_match('/^198\.51\.100/', $ip))
        return 'TEST-NET-2，文件和示例';
    if (preg_match('/^203\.0\.113/', $ip))
        return 'TEST-NET-3，文件和示例';

    if (preg_match('/^192\.(18|19)\./', $ip))
        return '網路基準測試';

    if (preg_match('/^192\.168/', $ip))
        return '專用網路[內部網]';

    if (preg_match('/^192\.88\.99/', $ip))
        return 'ipv6to4中繼';
    if (preg_match('/^192\.0\.2\./', $ip))
        return 'TEST-NET-1，文件和示例';
    if (preg_match('/^192\.0\.0\./', $ip))
        return '保留（IANA）';
    if (preg_match('/^192\.0\.0\./', $ip))
        return '保留（IANA）';

    if ($iplist[0] == 172 &amp;&amp; $iplist[1] <= 31 && $iplist[1] >= 16)
        return '專用網路[內部網]';

    if ($iplist[0] == 169 &amp;&amp; $iplist[1] == 254)
        return '鏈路本地';
    if ($iplist[0] == 127)
        return '環回地址';
    if ($iplist[0] == 10)
        return '專用網路[內部網]';
    if ($iplist[0] == 0)
        return '本網路（僅作為源地址時合法）';

    return 'InterNet網地址';
}

當你輸入IP地址，它返回是“’InterNet網地址’ ，那麼這個IP地址不光格式正確，而且是網際網路上面合法的IP地址。 這個函式很複雜，其實就是排除很多非網際網路使用IP地址。 我們常見的192,127,10開頭地址估計都很熟悉了。 但實際上，很多IP地址是保留的，或者留作它用。 不能作為網際網路 IP使用。 有了以上兩個函式，我們不光可以讀到正確格式IP地址，還能夠保證讀到是網際網路上面IP地址。 以上是工作中常使用的函式，歡迎朋友們交流！