不能直接信任 http_x_forwarded_for,因其可被客户端伪造;必须结合 remote_addr 与可信代理白名单校验,优先使用 cloudflare 的 http_cf_connecting_ip 等专用头,并确保 nginx 正确传递且禁用客户端伪造。
PHP 里不能直接信任 HTTP_X_FORWARDED_FOR,它可被客户端随意伪造;必须结合 REMOTE_ADDR 和可信代理白名单做校验。
为什么不能直接用 $_SERVER['HTTP_X_FORWARDED_FOR']
这个值由最前端的代理(如 Nginx、CDN)添加,但若请求没经过代理、或中间有不可信设备,攻击者可在请求头里手动设置 X-Forwarded-For: 1.2.3.4,导致你拿到假 IP。常见错误现象包括:用户注册显示“IP 来自巴西”,实际是本地开发环境直连造成的。
- 本地测试时
HTTP_X_FORWARDED_FOR可能为空,也可能被 curl 手动注入 - 多层代理下该字段可能是逗号分隔的字符串,如
"203.0.113.1, 198.51.100.2",最右是上一跳,最左是原始客户端 - 部分 CDN(如 Cloudflare)用
HTTP_CF_CONNECTING_IP替代,不走标准字段
如何安全提取真实客户端 IP
核心逻辑是:只从 HTTP_X_FORWARDED_FOR 中取「离当前服务器最近的、且来源 IP 在可信代理列表中」的那一段。假设你用 Nginx 做反向代理,部署在 10.0.0.10,那只有来自这个地址的请求,才允许信任它传来的 X-Forwarded-For。
- 先确认你的 PHP 运行在可信代理之后(比如 Nginx → PHP-FPM),并记录所有代理的内网 IP(如
10.0.0.10、172.16.0.5) - 用
$_SERVER['REMOTE_ADDR']判断当前连接来源是否在可信代理列表中 - 如果来源可信,再解析
$_SERVER['HTTP_X_FORWARDED_FOR'],取最左边非私有/非保留地址的 IP(跳过127.0.0.1、10.0.0.0/8等) - 否则,直接 fallback 到
$_SERVER['REMOTE_ADDR']
简短示例:
立即学习“PHP免费学习笔记(深入)”;
$trustedProxies = ['10.0.0.10', '172.16.0.5'];
$remoteAddr = $_SERVER['REMOTE_ADDR'] ?? '';
$clientIp = $remoteAddr;
if (in_array($remoteAddr, $trustedProxies) && !empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));
foreach ($ips as $ip) {
if (!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
continue;
}
$clientIp = $ip;
break;
}
}
Cloudflare 或其他 CDN 的特殊处理
Cloudflare 不转发原始 X-Forwarded-For,而是设自己的头 HTTP_CF_CONNECTING_IP,且只对已验证的域名生效。如果你接入了 Cloudflare,并在后台开启「IP Geolocation」或「True Client IP」,这个字段才是可靠来源。
- 优先检查
$_SERVER['HTTP_CF_CONNECTING_IP'](Cloudflare) - 阿里云 CDN 用
HTTP_X_REAL_IP,腾讯云部分场景用HTTP_X_SRC_IP - 永远不要同时信任多个头字段拼接,比如既读
HTTP_X_FORWARDED_FOR又读HTTP_X_REAL_IP,容易被绕过
PHP 配置与 Nginx 配合要点
光靠 PHP 代码不够,Nginx 必须正确传递头信息,且禁止客户端伪造关键字段。否则 PHP 拿到的就是污染数据。
- Nginx 配置里要显式设置:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;,而不是简单写死$remote_addr - 加一行
proxy_set_header X-Real-IP $remote_addr;,方便 PHP 快速判断来源是否可信 - 禁用客户端自定义该头:
underscores_in_headers off;,并确保underscores_in_headers不开启,防止用x_forwarded_for绕过 - PHP 的
variables_order配置不能包含G(GET),避免 URL 参数里传入?HTTP_X_FORWARDED_FOR=...覆盖服务器变量
真正难的不是写几行代码取 IP,而是理清整个请求链路上每个环节谁在写、谁在读、谁可信——少一个环节校验,就可能把伪造 IP 当成真实用户来源。
