php获取用户真实IP和防刷机制的实例代码

一. 如何获取用户ip地址

 public static function getclientip() { if (getenv('http_client_ip')) {  $ip = ge孝心tenv('http_client_ip'); } if (getenv('http_x_real_ip')) {  $ip = getenv('http_x_real_ip'); } elif (getenv('http_x_forwarded_for')) {  $ip = getenv('http_x_forwarded_for');  $ips = explode(',', $ip);  $ip = $ips[0]; } elif (getenv('remote_addr')) {  $ip = getenv('remote_addr'); } el {  $ip = '0.0.0.0'; } return $ip; }

注意：

$_rver和getenv的区别，getenv不支持iis的isapi方式运行的php
getenv(“remote_addr”)函数在 apache下能正常获取ip地址，而在iis中没有作用，而$_rver[‘remote_addr’]函数，既可在apache中成功获取访客的ip地址，在iis下也同样有效

一、关于 remote_addr

这个变量获取到的是《直接来源》的 ip 地址，所谓《直接来源》指的是直接请求该地址的客户端 ip 。这个 ip 在单服务器的情况下，很准确的是客户端 ip ，无法伪造。当然并不是所有的程序都一定是单服务器，比如在采用负载均衡的情况（比如采用 haproxy 或者 nginx 进行负载均衡），这个 ip 就是转发机器的 ip ，因为过程是客户端->负载均衡->服务端。是由负载均衡直接访问的服务端而不是客户端。

二、关于 http_x_forwarded_for 和 http_client_ip
基于《一》，在负载均衡的情况下直接使用 remote_addr 是无法获取客户端 ip 的，这就是一个问题，必须解决。于是就衍生出了负载均衡端将客户端 ip 加入到 head 中发送给服务端，让服务端可以获取到客户端的真实 ip 。当然也就产生了各位所说的伪造，毕竟 head 除了协议里固定的那几个数据，其他数据都是可自定义的。

三、为何网上找到获取客户端 ip 的代码都要依次获取 http_client_ip 、 http_x_forwarded_for 和 remote_addr
基于《一》和《二》以及对程序通用性的考虑，所以才这样做。 假设你在程序里直接写死了 remote_addr ，有一天你们的程序需要做负载均衡了，那么你有得改了。当然如果你想这么做也行，看个人爱好和应用场景。也可以封装一个只有 remote_addr 的方法，等到需要的时候改这一个方法就行了。

总结：

http_client_ip: 头是有的，只是未成标准，不一定服务器都实现了。

x-forwarded-for（xff）: 是用来识别通过http代理或负载均衡方式连接到web服务器的客户端最原始的ip地址的http请求头字段, 格式：clientip,proxy1,proxy2

remote_addr: 是可靠的， 它是最后一个跟你的服务器握手的ip，可能是用户的代理服务器，也可能是自己的反向代理。

x-forwarded-for 和 x-real-ip区别：

x-forwarded-for是用于记录代理信息的，每经过一级代理(匿名代理除外)，代理服务器都会把这次请求的来源ip追加在x-forwarded-for中, 而x-real-ip，没有相关标准, 其值在不同的代理环境不固定

关于此的更多讨论可以参考：

1. 负载均衡情况：

生产环境中很多服务器隐藏在负载均衡节点后面，你通过关羽是哪里人remote_addr只能获取到负载均衡节点的ip地址，一般的负载均衡节点会把前端实际的ip地址通过http_client_ip或者http_x_forwarded_for这两种http头传递过来。

后端再去读取这个值就是真实可信的，因为它是负载均衡节点告诉你的而不是客户端。但当你的服务器直接暴露在客户端前面的时候，请不要信任这两种读取方法，只需要读取remote_addr就行了

2. cdn的情况：

所以对于我们获取用户的ip，应该截取http_x_forwarded_for的第上瘾 (overdo)一个有效ip(非unknown)。

多层代理时，和cdn方式类似。

注意：

无论是remote_addr还是http_forwarded_for，这些头消息未必能够取得到,因为不同的浏览器不同的网络设备可能发送不同的ip头消息

二. 防止ip注入攻击

加入以下代码防止ip注入攻击：

// ip地址合法验证, 防止通过ip注入攻击$long = sprintf("%u", ip2long($ip));$ip = $long ? array($ip, $long) : array('0.0.0.0', 0);

一般获取ip后更新到数据库代码如： $sql=”update t_urs t login_ip='”.get_client_ip().”‘ where …” ，而如果接收到的ip地址是： xxx.xxx.xxx.xxx’;delete from t_urs;– ，代入参数sql语句就变成了： “update t_urs t login_ip=’xxx.xxx.xxx.xxx’;delete from t_urs;– where …

所以获取ip地址后，务必使用正则等对ip地址的有效性进行验证，另外一定要使用参数化sql命令

解析：

sprintf() 函数把格式化的字符串写入变量中。
•%u – 不包含正负号的十进制数（大于等于 0）

int ip2long ( string $ip_addr给女友讲故事ess ) :

返回ip地址转换后的数字 或 fal 如果 ip_address 是无效的。

注意 :

例子说明打印一个转换后的地址使用 printf() 在php4和php5的功能:

<?php$ip = gethostbyname('www.example.com');$long = ip2long($ip);if ($long == -1 || $long === fal) { echo 'invalid ip, plea try again';} el { echo $ip . "\n";  // 192.0.34.166 echo $long . "\n";  // -1073732954 printf("%u\n", ip2long($ip)); // 3221234342}?>

1. 因为php的 integer 类型是有符号，并且有许多的ip地址讲导致在32位系统的情况下为负数， 你需要使用 “%u” 进行转换通过 sprintf() 或printf() 得到的字符串来表示无符号的ip地址。

2. ip2long() 将返回 fal 在ip是 255.255.255.255 的情况，版本为 php 5 <= 5.0.2. 在修复后 php 5.0.3 会返回 -1 (与php4相同)

三. 防刷机制

对于获取到ip后我们可以做一些防刷操作：

//ip限额$ip = getclientip();$ipkey = "activity_key_{$ip}";if (!frequencycheckwithtimesincache($ipkey, $duration, $limittimes)) { return fal;}return true;

// 限制id，在$cond时间内，最多请求$times次 public static function frequencycheckwithtimesincache($id, $cond, $times) { $value = yii::app()->cache->get($id); if (!$value) {  $data[] = time();  yii::app()->cache->t($id, json_encode($data), $cond);  return true; } $data = json_decode($value, true); if (count($data) + 1 <= $times) {  $data[] = time();  yii::app()->cache->t($id, json_encode($data), $cond);  return true; } if (time() - $data[0] > $cond) {  array_shift($data);  $data[] = time();  yii::app()->cache->t($id, json_encode($data), $cond);  return true; } return fal; }

举例：

限制每小时请求不超过50次

if (!frequencycheckwithtimesincache('times_uid_' . $uid, 3600, 50)) {  return '请求过于频繁'; }

防刷升级限制设备号：

//设备号 一个设备号最多只能抽奖3次 if(! empty($deviceid)){  $deviceuchance = yii::app()->db->createcommand()   ->lect('count(id)')->from('activity00167_log')   ->where('device_id=:deviceid',['deviceid'=>$deviceid])   ->分享快乐;queryscalar();  $devicechance = 3 - $deviceuchance; }

对于获取ip地址还可以在大数据分析用户的地理位置，比如做一些精准投放等工作。

总结

以上所述是www.887551.com给大家介绍的php获取用户真实ip和防刷机制的实例代码，希望对大家有所帮助