大家好我是陈师傅（敲黑板），今天咱们来聊聊这个让无数PHPer踩坑的经典问题——当你的网站套了CDN之后，"REMOTE_ADDR"突然集体叛变！就像上周我的实习生小王哭着来找我："老大！咱们的用户怎么全变成腾讯云服务器了？"

（扶眼镜推门框.jpg）

一、为什么用了CDN就"查无此IP"？

想象一下这个场景：你点了个外卖（用户请求），外卖小哥（CDN节点）帮你把餐从总店（源服务器）取来。这时候总店看到的送货地址当然是外卖站的地址对吧？这就是典型的"REMOTE_ADDR被覆盖"现象。

在技术层面来说：

- `$_SERVER['REMOTE_ADDR']` 只能拿到直接连接的客户端IP

- 当中间存在反向代理时（如CDN/负载均衡），这个值就会变成代理服务器的IP

- 真实的用户IP通常藏在HTTP头里旅行

举个栗子🌰：

```php

// 裸奔服务器环境

echo $_SERVER['REMOTE_ADDR']; // 输出真实客户端IP 114.114.114.114

// CDN环境下的悲剧

echo $_SERVER['REMOTE_ADDR']; // 输出阿里云CDN节点IP 203.0.113.5

```

二、破局三连招：从青铜到王者的进阶之路

【青铜段位】直接读取XFF头（新手村操作）

$ip = $_SERVER['HTTP_X_FORWARDED_FOR'] ?? $_SERVER['REMOTE_ADDR'];

这就像在快递单上直接抄写发件人地址一样简单粗暴。但注意！XFF头可以被任意伪造：

```bash

curl -H "X-Forwarded-For: 8.8.8.8" https://your-site.com

【黄金段位】信任链验证（接入层白名单）

以Cloudflare为例的规范操作：

1. CDN控制台开启"传递客户端IP"功能

2. PHP端配置信任的代理IP段

代码示例：

$trustedProxies = [

'203.0.113.0/24', // Cloudflare CDN IP段

'2001:db8::/32' // IPv6段

];

$ipChain = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);

foreach(array_reverse($ipChain) as $ip){

if(!in_array($ip, $trustedProxies)){

$realIp = filter_var(trim($ip), FILTER_VALIDATE_IP);

break;

}

}

【王者操作】Symfony HttpFoundation组件（职业选手的选择）

安装方式：

composer require symfony/http-foundation

使用姿势：

use Symfony\Component\HttpFoundation\Request;

Request::setTrustedProxies(

['203.0.113.0/24'],

Request::HEADER_X_FORWARDED_FOR | Request::HEADER_X_FORWARDED_PORT

);

$request = Request::createFromGlobals();

echo $request->getClientIp(); // 自动过滤非法代理链

三、那些年我们踩过的坑（血泪经验包）

案例1：多层代理引发的惨案

某电商系统架构：

用户 -> 阿里云WAF -> SLB负载均衡 -> CDN -> PHP服务器

此时XFF头的格式会是：

X-Forwarded-For: 真实IP, WAF_IP, SLB_IP, CDN_IP

正确的处理应该是取第一个非信任节点的值！

案例2：IPv6的隐身术

某次排查发现日志里有大量`::1`本地地址——原来是没有正确处理IPv6格式：

// Bad practice:

$ip = end(explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));

// Good practice:

$ips = array_map('trim', explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']));

foreach($ips as $ip){

if(filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)){

四、安全防护红宝书（谨防SSRF攻击）

当你拿到真实客户端IP后千万别直接做这些危险操作：

// 高危操作！可能引发SSRF漏洞

file_get_contents("http://".$_GET['ip']."/api");

// IP转地理位置也要注意验证合法性

$geoApi->query(trim(explode(',',$_SERVER['HTTP_X_FORWARDED_FOR'])[0]));

建议采用防御性编程：

if(!filter_var($ip, FILTER_VALIDATE_IP)) {

throw new InvalidIpException('Detected abnormal IP format');

五、现代架构的最佳实践（2023版）

在云原生环境下推荐这些方案：

| 方案 | 适用场景 | 示例 |

|------|----------|------|

| Nginx realip模块 | 自建CDN | `set_real_ip_from`指令 |

| Cloudflare Workers | SaaS CDN | `cf-connecting-ip`头 |

| AWS Lambda@Edge | Serverless架构 | viewer-address字段 |

最后陈师傅敲黑板划重点：永远不要相信客户端传来的任何数据！即便用了上述方法也要做好兜底校验。毕竟互联网世界就像菜市场——有人带着假发套（伪造请求头）来买菜的情况每天都在发生呢~

TAG:php获取ip cdn,php获取数组长度,php获取字符串长度,php获取数据库的表的数据,php获取当前时间