filter_var()验证ip最可靠,内置ipv4/ipv6完整校验,可识别非法段、前导零、空段等;需trim()预处理,正则易出错且不支持ipv6,inet_pton()仅作补充验证。
PHP 用 filter_var() 验证 IP 地址最可靠
直接用 filter_var() 比手写正则更安全、更省心,它内置了对 IPv4/IPv6 的完整校验逻辑,能识别非法段(如 256.1.1.1)、前导零(192.0168.1.1)、空段等真实业务中容易出错的情况。
实操建议:
- 验证 IPv4:用
filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) - 验证 IPv6:加
FILTER_FLAG_IPV6标志,支持压缩格式(如::1) - 同时允许两者:不传标志位,或组合两个标志(
FILTER_FLAG_IPV4 | FILTER_FLAG_IPV6) - 注意:该函数对字符串前后空白敏感,建议先
trim()
手写正则只适合简单 IPv4 场景,且必须严格限定范围
如果硬要正则(比如在非 PHP 环境复用、或做前端快速校验),IPv4 的正确写法不是 ^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}$ —— 这会把 999.999.999.999 当作合法。
真正可用的 IPv4 正则应分段控制 0–255 范围:
立即学习“PHP免费学习笔记(深入)”;
^((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$
但要注意:
动态WEB网站中的PHP和MySQL:直观的QuickPro指南第2版
下载
动态WEB网站中的PHP和MySQL详细反映实际程序的需求,仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法,让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能,对常用的、强大的包
- 它不处理前导零(
010.0.0.1会被接受,而filter_var()会拒绝) - 不支持 IPv6,强行扩展正则会导致可读性崩坏、维护困难
- PCRE 性能略低于
filter_var(),尤其在大量校验时
inet_pton() 可作为补充验证手段,但不能单独使用
inet_pton() 能把 IP 字符串转为二进制,失败时返回 false,但它对格式容忍度比 filter_var() 更低——例如带空格、换行、多余点号会直接报错,且不区分 IPv4/IPv6 类型错误。
适用场景:
- 已知输入大概率合法,仅需快速“转码可行性”检查
- 后续要调用
inet_ntop()或 socket 函数时的前置步骤 - 和
filter_var()组合使用:先过滤再转码,避免无效输入进入底层
别忽略国际化和特殊地址场景
真实系统里可能遇到:127.0.0.1(本地回环)、0.0.0.0(未指定地址)、::ffff:192.168.1.1(IPv4 映射 IPv6)。这些是否算“合法”取决于你的业务逻辑。
例如:
- 登录限制中通常要排除
0.0.0.0和私有网段(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16) - Webhook 回调校验可能需额外用
gethostbyaddr()反查域名防伪造 - IPv6 中的
%zone后缀(如fe80::1%lo0)在 PHP 7.3+ 才被filter_var()正确识别
复杂网络策略下,单靠格式校验远远不够,IP 来源可信度、DNS 解析结果、ASN 信息往往比“是不是合法字符串”更重要。
