PHP获取到127.0.0.1说明未在真实外网环境运行或误用了SERVER_ADDR/LOCAL_ADDR;REMOTE_ADDR在反向代理后不可靠,需结合X-Forwarded-For、X-Real-IP等可信头及白名单校验安全获取客户端真实IP。
PHP 获取到 127.0.0.1,基本说明你没在真正外网环境下跑,或者代码直接读了 $_SERVER['SERVER_ADDR'] 或 $_SERVER['LOCAL_ADDR'] —— 这俩返回的是服务器本机监听地址,不是客户端真实 IP。
为什么 $_SERVER['REMOTE_ADDR'] 有时也错?
它本该是客户端真实 IP,但一旦经过反向代理(Nginx、CDN、云防火墙、SLB),这个值就会变成上一跳代理的内网 IP(比如 10.0.1.5 或又变成 127.0.0.1)。此时真实 IP 被挪到 HTTP 请求头里,如 X-Forwarded-For、X-Real-IP 等。
常见错误现象:
- 本地开发用
php -S启动,$_SERVER['REMOTE_ADDR']是127.0.0.1—— 正常,没走网络请求 - 线上 Nginx + PHP-FPM,
$_SERVER['REMOTE_ADDR']是127.0.0.1—— 很可能 Nginx 配置了fastcgi_pass 127.0.0.1:9000,且没透传头信息 -
$_SERVER['HTTP_X_FORWARDED_FOR']是一长串逗号分隔的 IP(如203.208.60.1, 10.1.2.3)—— 第一个是原始客户端 IP,后面是各级代理
如何安全取真实外网 IP?
不能无条件信任任意请求头。必须结合部署结构做白名单校验,否则容易被伪造(比如客户端手动加 X-Forwarded-For: 8.8.8.8)。
立即学习“PHP免费学习笔记(深入)”;
实操建议:
- 先确认你的 PHP 是否在可信代理后:比如 Nginx 和 PHP 同机,Nginx 的
real_ip_header X-Real-IP+set_real_ip_from 127.0.0.1已配好,那$_SERVER['REMOTE_ADDR']就已是真实 IP - 如果用了 CDN(如 Cloudflare、阿里云 DDoS 高防),它们会在请求头中提供可信字段,例如
$_SERVER['HTTP_CF_CONNECTING_IP'](Cloudflare)或$_SERVER['HTTP_X_REAL_IP'](部分国内 CDN) - 若需自己解析
X-Forwarded-For,只取第一个非私有地址:127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、100.64.0.0/10(运营商 NAT 地址段)都应跳过
一个轻量但较稳妥的取 IP 函数示例
function getRealIp(): ?string
{
// 优先使用 CDN 提供的可信头
if (!empty($_SERVER['HTTP_CF_CONNECTING_IP'])) {
return $_SERVER['HTTP_CF_CONNECTING_IP'];
}
if (!empty($_SERVER['HTTP_X_REAL_IP'])) {
return $_SERVER['HTTP_X_REAL_IP'];
}
// 再尝试 X-Forwarded-For(只取第一个合法公网 IP)
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
foreach ($ips as $ip) {
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
return $ip;
}
}
}
// 最终 fallback 到 REMOTE_ADDR(仅当确定没代理时才可靠)
if (filter_var($_SERVER['REMOTE_ADDR'], FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
return $_SERVER['REMOTE_ADDR'];
}
return null;
}
注意:FILTER_FLAG_NO_RES_RANGE 会过滤掉保留地址(如 0.0.0.0、255.255.255.255),FILTER_FLAG_NO_PRIV_RANGE 排除私有网段 —— 这两个标志在 PHP 7.1+ 才完整支持。
最易被忽略的一点:哪怕你写了“完美”逻辑,只要 Nginx 没把头透传给 PHP(比如漏了 fastcgi_param HTTP_X_REAL_IP $remote_addr;),PHP 根本收不到那个头 —— 所以务必先检查 $_SERVER 数组里有没有你要的键,而不是一上来就写判断逻辑。
