php获取客户端真实ip需优先信任可信代理设置的http_x_real_ip,若用x-forwarded-for则须从右向左剔除已知代理ip并取首个合法公网ip,且必须严格校验格式、清洗不可见字符、参数化入库。
PHP 获取客户端真实 IP 的常见误区
直接用 $_SERVER['REMOTE_ADDR'] 拿到的往往不是用户真实出口 IP,而是反向代理(如 Nginx、CDN)的地址。尤其在用了 Cloudflare、阿里云 CDN 或公司自建 LB 的场景下,$_SERVER['HTTP_X_FORWARDED_FOR'] 或 $_SERVER['HTTP_X_REAL_IP'] 才更可能存着原始 IP。
但这两个头字段完全由客户端或中间层传入,**不可信**——攻击者可以伪造 X-Forwarded-For: 1.2.3.4, 5.6.7.8 来污染数据。所以不能无条件取第一个值,也不能直接入库。
- 只在你明确知道前端有可信代理(比如 Nginx 配置了
set_real_ip_from并启用real_ip_header X-Real-IP)时,才信任$_SERVER['HTTP_X_REAL_IP'] - 若用
X-Forwarded-For,需按代理跳数从右往左剔除已知代理 IP,再取最右一个非内网地址(如不以 10./172.16–31./192.168. 开头) - 永远校验 IP 格式:
filter_var($ip, FILTER_VALIDATE_IP),否则可能存入恶意字符串导致 SQL 注入或日志污染
MySQL 存 IP 地址该用 VARCHAR 还是 INT/INET_ATON?
IPv4 地址用 INT UNSIGNED + INET_ATON()/INET_NTOA() 存储,确实省空间(4 字节 vs VARCHAR(15) 平均 12+ 字节),也支持范围查询(如查某 C 段:WHERE ip BETWEEN INET_ATON('192.168.1.0') AND INET_ATON('192.168.1.255'))。
但问题在于:INET_ATON() 对非法格式返回 0,而 0.0.0.0 是合法 IPv4 地址;且它不支持 IPv6 —— 一旦业务要兼容 IPv6,这套就得推倒重来。
立即学习“PHP免费学习笔记(深入)”;
- 如果确定只跑 IPv4 且对查询性能敏感(比如每秒写几万条访问日志),可用
INT UNSIGNED,但入库前必须严格校验:filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) - 如果未来可能上 IPv6,或想减少类型转换心智负担,直接用
VARCHAR(39)(IPv6 最长为 39 字符,如2001:0db8:85a3:0000:0000:8a2e:0370:7334)更稳妥 - 别用
TEXT:没索引优势,还浪费引擎开销
PHP 写入数据库前必须做的三件事
IP 不是普通字符串,入库前漏掉任一环节都可能导致数据错乱、查询失效或安全漏洞。
- 先标准化格式:用
filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)排除私有地址(10.0.0.0/8 等)和保留地址(0.0.0.0、127.0.0.1),避免埋雷 - 再做去重清洗:
$ip = trim($ip);去首尾空格;若从X-Forwarded-For取值,用array_map('trim', explode(',', $xff))拆分后逐个校验,取最后一个合法公网 IP - 最后参数化插入:绝不用字符串拼接 SQL,用 PDO 的
prepare()+bindValue()或 MySQLi 的bind_param(),防止 IP 字段里混入 SQL 片段(比如'127.0.0.1'; DROP TABLE logs;)
为什么有些 IP 入库后查不到?
常见原因不是代码写错,而是 IP 字符串里藏了看不见的字符,或者数据库字段长度不够。
-
VARCHAR(15)装不下 IPv6,也容不下带端口的地址(虽然标准 HTTP 不传端口,但某些代理会加192.168.1.1:12345)—— 一律设成VARCHAR(39)或更高 - 从
$_SERVER读出的值可能含不可见 Unicode 字符(尤其被 WAF 或某些 CDN 注入),入库前加mb_ereg_replace('[^\x00-\x7F]', '', $ip)清理 - MySQL 表字符集若是
utf8mb3,某些 IPv6 地址里的冒号或缩写(如::1)在特定 collation 下比对失败 —— 确保字段用ascii_bin或utf8mb4_bin排序规则
真正麻烦的是混合代理链:用户 → CDN → 公司 LB → PHP 应用,每一层都可能改写或追加 X-Forwarded-For。这时候光靠 PHP 判断不够,得配合运维确认每层代理的真实 IP 设置逻辑,否则代码再严谨也没用。
