PHP探针如何过滤非法IP访问

PHP探针因直接暴露服务器敏感信息而极易成为攻击入口，本文直击核心防护痛点，详解如何在probe.php文件开头通过PHP原生逻辑实现高可靠性IP白名单校验——摒弃易被绕过的.htaccess或Nginx配置，转而采用自研get_client_ip()精准获取真实客户端IP，并支持单IP、通配符（如192.168.1.*）及CIDR网段（如203.0.113.0/24）三种灵活匹配方式，辅以手工实现的ip_in_cidr()函数与filter_var基础校验，确保代理/CDN环境下不失效；更强调校验失败时必须用header()配合die()强制终止执行，彻底杜绝信息泄露风险——这不是可选优化，而是守住服务器最后一道门的关键防线。

怎么在 probe.php 里加 IP 白名单校验

PHP探针本质是暴露服务器敏感信息的脚本，不加访问控制等于把钥匙挂在门口。最直接有效的方式，是在 probe.php 开头插入 IP 校验逻辑——不是靠 .htaccess 或 Nginx（那些可能被绕过），而是 PHP 层面强制拦截。

• 必须用 get_client_ip() 获取真实 IP，不能只读 $_SERVER['REMOTE_ADDR']，否则代理/CDN 后的请求永远匹配不上白名单
• 白名单支持单 IP、192.168.1.* 通配、CIDR（如 203.0.113.0/24），但 PHP 原生不支持 CIDR 匹配，得自己写 ip_in_cidr() 函数或用 filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) 先做基础合法性检查
• 校验失败必须用 die() 终止执行，不能只 echo 提示后继续运行 phpinfo()

function get_client_ip() {
    if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        return explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'])[0];
    }
    if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
        return $_SERVER['HTTP_CLIENT_IP'];
    }
    return $_SERVER['REMOTE_ADDR'];
}
<p>function ip_in_cidr($ip, $cidr) {
list($subnet, $mask) = explode('/', $cidr);
if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) === false) return false;
$ip_long = ip2long($ip);
$subnet_long = ip2long($subnet);
$mask_long = -1 << (32 - $mask);
return ($ip_long & $mask_long) === ($subnet_long & $mask_long);
}</p><p>$whitelist = ['127.0.0.1', '192.168.1.*', '203.0.113.0/24'];
$client_ip = get_client_ip();</p><p>$allowed = false;
foreach ($whitelist as $rule) {
if (strpos($rule, '<em>') !== false) {
$pattern = str_replace('</em>', '[0-9]{1,3}', preg_quote($rule, '/'));
if (preg_match('/^' . $pattern . '$/', $client_ip)) {
$allowed = true;
break;
}
} elseif (strpos($rule, '/') !== false) {
if (ip_in_cidr($client_ip, $rule)) {
$allowed = true;
break;
}
} elseif ($client_ip === $rule) {
$allowed = true;
break;
}
}</p><p>if (!$allowed) {
header('HTTP/1.0 403 Forbidden');
die('Access denied.');
}</p>

为什么不能只靠 .htaccess 或 Nginx 的 allow/deny

看似更“底层”的配置，实际在探针场景下容易失效：比如你用的是 Cloudflare 或阿里云 CDN，REMOTE_ADDR 就是 CDN 节点 IP，而 .htaccess 的 Allow from 只认这个，结果合法用户全被拦；又或者你部署在某些 PaaS 平台（如腾讯云 SCF、Vercel），根本没法改服务器配置。

• .htaccess 在 Apache 下生效，但 Nginx 完全不识别它，且部分共享主机禁用 AllowOverride，规则直接被忽略
• Nginx 的 allow/deny 指令只作用于连接层，无法感知真实用户 IP（除非显式配置 real_ip_header 和 set_real_ip_from）
• 两者都做不到动态判断——比如你想“只允许公司出口 IP + 当前登录管理员的手机热点 IP”，就得回 PHP 层读数据库或 session

探针文件部署后最容易被忽略的三个风险点

很多人加了 IP 限制就以为万事大吉，其实还有三个隐蔽但高危的问题：

• probe.php 文件权限设为 644 是不够的，如果 Web 目录可写，攻击者可能上传同名文件覆盖你加了校验的版本；应设为 444（只读）或移出 Web 根目录，通过符号链接或反向代理访问
• 没清理历史备份：比如 probe.php.bak、probe.php~、probe_old.php，这些文件通常没加校验，直接暴露 phpinfo()
• 忘记关掉错误报告：display_errors = On 会让 PHP 报错泄露路径、扩展名、甚至部分代码片段，配合探针信息更容易被利用

用 filter_var 验证 IP 时的典型陷阱

很多人直接用 filter_var($ip, FILTER_VALIDATE_IP) 判断是否“合法”，但这只能说明格式对，不代表它是可信来源——127.0.0.1 合法，0.0.0.0 也合法，255.255.255.255 还是合法。真正要防的是恶意扫描器伪造的 X-Forwarded-For 头。

• 永远优先信任 HTTP_X_REAL_IP（如果你的反向代理设置了它），其次才是 HTTP_X_FORWARDED_FOR
• 不要对 HTTP_X_FORWARDED_FOR 做无条件信任，它可能被客户端随意篡改；至少要验证其中每个 IP 是否符合 IPv4/IPv6 格式，且不在私有地址段（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）
• FILTER_FLAG_NO_PRIV_RANGE 和 FILTER_FLAG_NO_RES_RANGE 可以帮上忙，但它们只过滤私有网段和保留地址，对公网扫描 IP 无效，仍需结合白名单

探针不是一次性工具，它一旦上线，就要按生产环境敏感接口的标准去守——IP 校验只是第一道门，文件权限、日志监控、定期清理，缺一不可。

以上就是《PHP探针如何过滤非法IP访问》的详细内容，更多关于php探针怎么用的资料请关注golang学习网公众号！