web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验

2015-01-24信息快讯网

通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR) ,我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则:“一切输入都是有害的”,因此,只要是输入我们就需要进行过滤

安全过滤后的getIP函数

  function getIP() {
 $realip = ''; //设置默认值
 if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
  $realip = $_SERVER['HTTP_X_FORWARDED_FOR'];
 } elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
  $realip = $_SERVER['HTTP_CLIENT_IP'];
 } else {
  $realip = $_SERVER['REMOTE_ADDR'];
 }

preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/',$realip,$match); return $match?$match[0]:false; }

以上函数,增加了IP判断,只会读取以Ip格式数据开头,并且第一个满足IP格式值。如果没有返回false。 这样就可以读取到满足格式的IP,验证了数据的IP格式。

如果我读取互联网的IP,用户传入局域网的IP,我应该直接过滤掉

我们在一些网站上面,经常可以看到提示,非法的IP地址,其实一部分是IP地址格式错误,一部分可能是读取到IP地址,不满足互联网上面允许IP格式。 以下这个函数,是通过IANA站点规范,封装了个函数。 通过输入IP地址,能够准确知道,该IP是不是可以在互联网应用。

//互联网允许使用IP地址
function ipType2($ip) {
 $iplist = explode(".", $ip);

if ($iplist[0] >= 224 && $iplist[0] <= 239) return '多播'; if ($iplist[0] >= 240 && $iplist[0] <= 255) return '保留';

if (preg_match('/^198\.51\.100/', $ip)) return 'TEST-NET-2,文档和示例'; if (preg_match('/^203\.0\.113/', $ip)) return 'TEST-NET-3,文档和示例';

if (preg_match('/^192\.(18|19)\./', $ip)) return '网络基准测试';

if (preg_match('/^192\.168/', $ip)) return '专用网络[内部网]';

if (preg_match('/^192\.88\.99/', $ip)) return 'ipv6to4中继'; if (preg_match('/^192\.0\.2\./', $ip)) return 'TEST-NET-1,文档和示例'; if (preg_match('/^192\.0\.0\./', $ip)) return '保留(IANA)'; if (preg_match('/^192\.0\.0\./', $ip)) return '保留(IANA)';

if ($iplist[0] == 172 && $iplist[1] <= 31 && $iplist[1] >= 16) return '专用网络[内部网]';

if ($iplist[0] == 169 && $iplist[1] == 254) return '链路本地'; if ($iplist[0] == 127) return '环回地址'; if ($iplist[0] == 10) return '专用网络[内部网]'; if ($iplist[0] == 0) return '本网络(仅作为源地址时合法)';

return 'InterNet网地址'; }

当你输入IP地址,它返回是“'InterNet网地址' ,那么这个IP地址不光格式正确,而且是互联网上面合法的IP地址。 这个函数很复杂,其实就是排除很多非互联网使用IP地址。 我们常见的192,127,10开头地址估计都很熟悉了。 但实际上,很多IP地址是保留的,或者留作它用。 不能作为互联网 IP使用。 有了以上两个函数,我们不光可以读到正确格式IP地址,还能够保证读到是互联网上面IP地址。 以上是工作中常使用的函数,欢迎朋友们交流!

作者:chengmo  QQ:8292669

php header功能的使用
php加密解密函数authcode的用法详细解析
使用淘宝IP库获取用户ip地理位置
php数组转换js数组操作及json_encode的用法详解
关于php程序报date()警告的处理(date_default_timezone_set)
PHP中include与require使用方法区别详解
PHP JS Ip地址及域名格式检测代码
使用php判断服务器是否支持Gzip压缩功能
PHP加密函数 Javascript/Js 解密函数
PHP和JavaScrip分别获取关联数组的键值示例代码
深入解析php中的foreach函数
完美解决PHP中的Cannot modify header information 问题
php中如何使对象可以像数组一样进行foreach循环
php中用socket模拟http中post或者get提交数据的示例代码
php number_format() 函数通过千位分组来格式化数字的实现代码
如何使用php判断服务器是否是HTTPS连接
Smarty foreach控制循环次数的实现详解
浅析HTTP消息头网页缓存控制以及header常用指令介绍
深入apache配置文件httpd.conf的部分参数说明
PHP 使用header函数设置HTTP头的示例解析 表头
Window 7/XP 安装Apache 2.4与PHP 5.4 的过程详解
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
解析dedecms空间迁移步骤详解
setcookie中Cannot modify header information-headers already sent by错误的解决方法详解
php中get_headers函数的作用及用法的详细介绍
使用php get_headers 判断URL是否有效的解决办法
php gzip压缩输出的实现方法
Eclipse中php插件安装及Xdebug配置的使用详解
php简单开启gzip压缩方法(zlib.output_compression)
做了CDN获取用户真实IP的函数代码(PHP与Asp设置方式)
PHP屏蔽蜘蛛访问代码及常用搜索引擎的HTTP_USER_AGENT
PHP中通过HTTP_USER_AGENT判断是否为手机移动终端的函数代码
Could not load type System.ServiceModel.Activation.HttpModule解决办法
PHP获取http请求的头信息实现步骤
php获取ip的三个属性区别介绍(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
PHP中使用foreach和引用导致程序BUG的问题介绍
php循环语句 for()与foreach()用法区别介绍
©2014-2024 dbsqp.com