Ist es sicher, $ _SERVER ['REMOTE_ADDR'] zu vertrauen?

Ist es sicher, Vertrauen $_SERVER['REMOTE_ADDR']? Kann es ersetzt werden durch ändern der header der Anfrage oder sowas?

Ist es sicher, etwas so zu schreiben?

if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { //my ip address
    $grant_all_admin_rights = true;
}

InformationsquelleAutor der Frage Silver Light | 2011-01-23

  1. 91

    Ja, es ist sicher. Es ist das Quell-IP der TCP-Verbindung und kann nicht ersetzt werden durch ändern der HTTP-header.

    Einem Fall möchten Sie vielleicht zu befürchten ist, wenn Sie hinter einem reverse-proxy, in dem Fall die REMOTE_ADDR wird immer die IP des proxy-Servers und die Benutzer-IP wird in einen HTTP-header (wie X-Forwarded-For). Aber für den normalen Anwendungsfall Lesen REMOTE_ADDR ist in Ordnung.

    InformationsquelleAutor der Antwort sagi

  2. 53

    $_SERVER['REMOTE_ADDR'] ist die IP-Adresse der TCP-Verbindung kam auf. Zwar ist es technisch möglich, bidirektional fälschen von IP-Adressen auf das Internet (durch die Ankündigung foul Routen via BGP), solche Angriffe sind wahrscheinlich entdeckt werden und nicht der typische Angreifer - im Grunde, Sie Ihre Angreifer haben muss, die Kontrolle über einen ISP oder carrier. Es gibt keine durchführbare unidirektional-spoofing-Angriffe gegen TCP (noch) nicht. Bidirektionale IP-spoofing ist trivial auf einem LAN, obwohl.

    Sich auch bewusst sein, dass es keine IPv4 sondern eine IPv6-Adresse. Ihrer aktuellen überprüfen ist in Ordnung in dieser Hinsicht, aber wenn Sie überprüfen würden, dass 1.2.3.4 tritt nur überall innerhalb $_SERVER['REMOTE_ADDR']ein Angreifer kann einfach eine Verbindung von 2001:1234:5678::1.2.3.4.

    Kurzerhand, für alles andere als kritisch (banking/Militär/potenzieller Schaden >50.000€) - Anwendungen verwenden, können Sie die remote-IP-Adresse, wenn Sie ausschließen kann, dass Angreifer in Ihrem lokalen Netzwerk.

    InformationsquelleAutor der Antwort phihag

  3. 3

    Wie oben erwähnt, es ist nicht absolut sicher. Aber es bedeutet nicht, sollten Sie nicht verwenden es. Berücksichtigen Sie dies in Kombination mit einigen anderen Methoden der Authentifizierung, beispielsweise die überprüfung der COOKIE-Werte.

    InformationsquelleAutor der Antwort Audio

Schreibe einen Kommentar