深入分析PHP获取客户端IP的情况

     前言：我们在使用PHP获取的IP可能是客户端真实的IP，也可能是代理服务器的IP，也有可能根本取不到任何IP值。

    如果客户端是使用代理服务器来访问，那 $_SERVER["REMOTE_ADDR"] 取到的是代理服务器的IP地址，而不是真正的客户端IP。如果想透过代理服务器取得客户端的真实IP，就要使用 $_SERVER["HTTP_X_FORWARDED_FOR"] ，但客户端必须使用“透明代理”的情况下，$_SERVER["HTTP_X_FORWARDED_FOR"]才是客户端真正的IP（如是多层代理，该值可能是由客户端真实IP和多个代理服务器的IP并由逗号分隔），而在“匿名代理”、“欺骗性代理”的情况下是代理服务器的IP（如果是多层代理，该值可能由逗号隔开的多个代理服务器的IP组成），此外在“高匿名代理”的情况下是空值。

 

    具体情况如下：

1.没有使用代理服务器：$_SERVER['REMOTE_ADDR']是真实ip，$_SERVER['HTTP_X_FORWARDED_FOR']无值或不存在；

     2.透明代理服务器（Transparent Proxies）：最后一 $_SERVER['REMOTE_ADDR']个代理服务器ip，$_SERVER['HTTP_X_FORWARDED_FOR']是由真实ip和代理ip用逗号隔开组成的；

     3.普通匿名代理服务器（Anonymous Proxies）：$_SERVER['REMOTE_ADDR']是最后一个代理服务器ip，$_SERVER['HTTP_X_FORWARDED_FOR']是由多个代理ip用逗号隔开组成的，向访问对象透露了客户端是使用代理服务器；

     4.欺骗性代理服务器（Distorting Proxies）：$_SERVER['REMOTE_ADDR']是代理服务器ip，$_SERVER['HTTP_X_FORWARDED_FOR']是由多个代理ip用逗号隔开组成的，同样透露了客户端是使用了代理服务器，但编造了一个虚假的随机IP代替客户端的真实IP来欺骗它；

     5.高匿名代理服务器（High Anonymity Proxies ）：无论是REMOTE_ADDR还是HTTP_FORWARDED_FOR，这些头消息未必能够取得到，因为不同的浏览器不同的网络设备可能发送不同的IP头消息，这种情况获取的ip可能是空值也科也可能是“unknown”。

获取ip的代码实现如下：

function get_real_ip() {  
 
	//代理服务器
	if ( isset($_SERVER['HTTP_X_FORWARDED_FOR']) 
	     && $_SERVER['HTTP_X_FORWARDED_FOR'] 
	     && strcasecmp( $_SERVER['HTTP_X_FORWARDED_FOR'], 'unknown' ) ) {  
		
	    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];  
	    
	} elseif ( isset($_SERVER['REMOTE_ADDR']) 
	           && $_SERVER['REMOTE_ADDR'] 
			   && strcasecmp( $_SERVER['REMOTE_ADDR'], 'unknown' ) ) {  
		
		$ip = $_SERVER['REMOTE_ADDR'];  
			
	}  

	//代理服务器的情况
	if ( false !== strpos($ip, ',') ){  
		
		$ip = reset(explode(',', $ip));  
		
	}
	
	return $ip;  
	
} 

注意：PHP获取客户端IP时另外一点需注意，使用函数getenv(’HTTP_X_FORWARDED_FOR’)或getenv(’REMOTE_ADDR’) 也可以如上代码一样取得同样的效果。但getenv()不支持在IIS的isapi方式下运行的PHP。