PHP 获取真实客户端 IP 地址方法

在Web开发中，PHP的$_SERVER['REMOTE_ADDR']并不能反映用户真实IP，而只是与当前服务器建立TCP连接的上一级代理（如Nginx、CDN或负载均衡器）的地址，直接使用会导致风控、限流和日志统计严重失真；真正安全获取客户端真实IP的关键在于——仅当请求来源IP属于预设可信代理网段（如127.0.0.1、内网段或Cloudflare节点）时，才信任并解析X-Real-IP、HTTP_CF_CONNECTING_IP等透传头字段，同时严格规避X-Forwarded-For等可伪造字段的风险，本文提供经过生产验证的最小可靠实现逻辑，帮你彻底避开IP识别陷阱。

PHP 里直接读 $_SERVER['REMOTE_ADDR'] 拿不到用户真实 IP —— 它只反映和当前 PHP 进程建立 TCP 连接的那台机器，比如 Nginx、CDN 节点或负载均衡器的出口 IP。

为什么 $_SERVER['REMOTE_ADDR'] 总是内网或代理 IP

这是协议层决定的：TCP 连接终点就是它。哪怕你本地开发时没配代理，$_SERVER['REMOTE_ADDR'] 也可能是 127.0.0.1；上线后用了 Nginx 反代，它就变成 Nginx 的内网地址；上了 Cloudflare 或阿里云 SLB，这里就固定是它们的任意一个 POP 节点 IP。

所以不能把它当用户 IP 用，尤其做风控、限流、日志统计时会出大问题。

哪些 HTTP Header 可信？怎么判断

常见头字段有：X-Forwarded-For、X-Real-IP、True-Client-IP、CF-Connecting-IP（Cloudflare）、HTTP_CDN_SRC_IP（部分 CDN）。但它们全可被客户端伪造，**可信的前提只有一个：该请求必须来自你明确信任的代理 IP（如 Nginx、内部 LB）**。

• 只在 $_SERVER['REMOTE_ADDR'] 属于你配置的可信网段（如 127.0.0.1、10.0.0.0/8、172.16.0.0/12）时，才考虑读取这些头
• X-Forwarded-For 格式是 "client, proxy1, proxy2"，只取最左边第一个 IP（explode(',', $xff)[0]），再 trim()
• X-Real-IP 更干净，推荐优先用 —— 它通常由 Nginx 的 set_real_ip_from + real_ip_header X-Real-IP 注入，且不可被下游篡改
• Cloudflare 用户应优先检查 $_SERVER['HTTP_CF_CONNECTING_IP']，它比 X-Forwarded-For 更可靠（需在 CF 控制台开启「IP Geolocation」）

安全获取真实 IP 的最小可行代码

下面这段逻辑覆盖了大多数生产场景（Nginx + 可信内网代理 + Cloudflare）：

function getRealIp(): string
{
    $trustedProxies = ['127.0.0.1', '10.0.0.0/8', '172.16.0.0/12', '192.168.0.0/16'];
    $remote = $_SERVER['REMOTE_ADDR'] ?? '';
// 先检查是否来自可信代理
$isTrusted = false;
foreach ($trustedProxies as $cidr) {
    if (strpos($cidr, '/') !== false) {
        [$net, $mask] = explode('/', $cidr);
        $ipLong = ip2long($remote);
        $netLong = ip2long($net);
        $maskLong = -1 << (32 - (int)$mask);
        if (($ipLong & $maskLong) === ($netLong & $maskLong)) {
            $isTrusted = true;
            break;
        }
    } elseif ($remote === $cidr) {
        $isTrusted = true;
        break;
    }
}

if ($isTrusted) {
    // Cloudflare 专用头（最高优先级）
    if (isset($_SERVER['HTTP_CF_CONNECTING_IP']) && filter_var($_SERVER['HTTP_CF_CONNECTING_IP'], FILTER_VALIDATE_IP)) {
        return $_SERVER['HTTP_CF_CONNECTING_IP'];
    }
    // Nginx 注入的 X-Real-IP
    if (isset($_SERVER['HTTP_X_REAL_IP']) && filter_var($_SERVER['HTTP_X_REAL_IP'], FILTER_VALIDATE_IP)) {
        return $_SERVER['HTTP_X_REAL_IP'];
    }
    // X-Forwarded-For：只取第一个，且必须是合法公网 IP
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $xff = $_SERVER['HTTP_X_FORWARDED_FOR'];
        $ip = trim(explode(',', $xff)[0]);
        if (filter_var($ip, FILTER_VALIDATE_IP) && !filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
            return $ip;
        }
    }
}

// 最终 fallback：至少保证是合法 IP 格式
return filter_var($remote, FILTER_VALIDATE_IP) ? $remote : '0.0.0.0';
}

注意：filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) 这个组合能排除私有地址（如 192.168.x.x）和保留地址（如 127.0.0.1），避免把中间代理 IP 当成用户 IP。

最容易被忽略的三个坑

很多人抄来代码就跑，结果线上出问题：

• Nginx 没配 proxy_set_header X-Real-IP $remote_addr;，导致 $_SERVER['HTTP_X_REAL_IP'] 始终为空
• 把 $_SERVER['HTTP_X_FORWARDED_FOR'] 直接用于封禁或权限判断，而没校验 $_SERVER['REMOTE_ADDR'] 是否在可信列表里 —— 攻击者只要加个 X-Forwarded-For: 1.2.3.4 就能伪造
• 用 getenv('HTTP_X_FORWARDED_FOR') 替代 $_SERVER['HTTP_X_FORWARDED_FOR']，但在 PHP-FPM + Nginx 环境下，getenv() 默认不读 HTTP 头（除非 variables_order 包含 E）

真实 IP 获取不是“选一个函数调用”就能解决的事，它本质是代理链路的信任声明 —— 你得清楚每一层谁在转发、谁可控、谁不可信。漏掉任一环，拿到的都可能是错的甚至恶意构造的 IP。

以上就是《PHP 获取真实客户端 IP 地址方法》的详细内容，更多关于的资料请关注golang学习网公众号！