Wird der Wert von set $_SERVER['HTTP_CLIENT_IP'] einen leeren string?

Habe ich ein einfaches Skript, welches bestimmt, die Nutzer-IP-Adresse:

function GetIp(){
      if (!empty($_SERVER['HTTP_CLIENT_IP']))
      //check ip from share internet
      {
        $ip=$_SERVER['HTTP_CLIENT_IP'];
      }
      elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
      //to check ip is pass from proxy
      {
        $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
      }
      else
      {
        $ip=$_SERVER['REMOTE_ADDR'];
      }
      return $ip;
}

Nun im Netz irgendwo sah ich jemanden mit diesem Skript:

if (isset($_SERVER['HTTP_CLIENT_IP']) && $_SERVER['HTTP_CLIENT_IP'] != '')
        $Ip = $_SERVER['HTTP_CLIENT_IP'];
    elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && $_SERVER['HTTP_X_FORWARDED_FOR'] != '')
        $Ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
    elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] != '')
        $Ip = $_SERVER['REMOTE_ADDR'];

Ich Frage mich, ob meine Implementierung ist kaputt.. muss ich überprüfen, ob der Wert $_SERVER['HTTP_CLIENT_IP'], $_SERVER['HTTP_X_FORWARDED_FOR'] oder $_SERVER['REMOTE_ADDR'] leer ist? Oder ist es eigentlich unnötig, dies zu tun?

  • Was ist der Zweck dieses? Ist es in irgendeiner Weise relevant für die Sicherheit? Weil wenn es ist, REMOTE_ADDR ist die einzige, die sich lohnt.
  • Hängt davon ab. Ich erinnere mich an einige hosting-Unternehmen da draußen, die haben einen proxy vor Ihren Servern und schieben Sie in die proxies der lokalen IP die dazu führen, dass REMOTE_ADDR immer so etwas wie 10.0.0.1 ... Also, wenn Sie wollten, um die Client-IP-Adresse, die Sie hatten, um mit zu gehen X_FORWARDED_FOR
InformationsquelleAutor Pacerier | 2011-10-01
  1. 14

    Wenn der Grund, warum Sie wollen, um herauszufinden, die IP-Adresse des Clients ist wirklich wichtig, die Schraube, die all diese Dinge.

    Beliebigen dieser header-Werte können beliebig gefälscht.

    REMOTE_ADDR ist die einzige wirklich verlässliche information, wie es übertragen wird, um Sie von Ihrem web-server, der die Bearbeitung des Antrages. Es kann theoretisch sein gefälscht als gut, aber das ist viel, viel schwieriger, als spoofing eine header-Wert, und eine ganz andere Klasse von Angriff.

    Ausnahmen gibt es in sehr, sehr speziellen hosting-Umgebungen hinter reverse-proxies. In diesen Fällen muss die person, die Verwaltung, die proxy wird in der Lage sein zu sagen, welche header-Wert, die Sie benötigen zu testen.

    • Könnten Sie näher auf die Worte "frei " spoofed".. meinst du ein Laie wie ich vortäuschen einer website, die mit dieser Art von script?
    • yup - es bedeutet, dass, wenn ich eine Anfrage an Ihre Website, ich könnte Ihnen eine X_HTTP_FORWARDED_FOR - header mit einem Wert (z.B. jemand anderes die IP-Adresse). Das ist leicht machbar mit curl oder ein browser-plugin. In einem normalen setup, REMOTE_ADDR ist die einzige zuverlässige IP-Adresse, die es gibt. @kemo Auszug nimmt, die Berücksichtigung von Vertrauen in die header-Werte nur, wenn Sie kommen aus einer vertrauenswürdigen proxy
    • danke für die info! und diese Jungs hier stackoverflow.com/questions/444966/... sind die Benennung der Funktionen wie GetRealRemoteIp wie es ist stärker als einfach mit $_SERVER["REMOTE_ADDR"]
    • ja, das sieht gefährlich falsch. (Wie oben schon gesagt, Kemo Schrift ist besser, es nicht nur Vertrauen in irgendeinem - header-Wert, kommt in der)
    • Geil =D Nur noch eine Letzte Frage, bevor ich signoff, haben Sie zufällig wissen, ob $_SERVER["REMOTE_ADDR"] zurückkehren wird, so etwas wie "" (Länge null) oder "unknown" oder etwas anderes als nur eine IP zusammen?
    • Ich weiß nicht - ich kann nicht denken Sie an eine situation, wo es leer wäre! Aber man könnte testen, ob es eine echte IP-Adresse. Siehe Wie kann ich einfach überprüfen, ob ein string eine gültige IP in PHP?
    • Ok thx für die Richtung =)
    • Ich war versucht zu fälschen HTTP_X_REAL_IP mit browser-plugin, hatte aber keinen Erfolg. Aber-spoofing HTTP_X_FORWARDED_FOR gearbeitet, - es zeigte 2 IP-adreses dann eins senden, die ich mit header und eine, die war original. So, wie die spoof-X-Real-IP ?
    • Ja, aber nicht immer bringen Sie die gewünschte IP. Wenn Sie Nginx, erhalten Sie die IP 127.0.0.1 auf REMOTE_ADDR. Manchmal Lesen muß, die HTTP_CLIENT_IP und HTTP_X_FORWARDED_FOR, auch wenn Sie einfach gefälscht.
    • Ich bin damit einverstanden, musste überprüft diese in meinem ShowMyIP Projekt-Seite: ich habe versucht darauf hin, die Risiken in meinem code-Kommentare zum Quellcode (hier der post mit den relevanten Auszug ).

    InformationsquelleAutor Pekka 웃
  2. 8

    Aus Kohanas " Anforderungs-Klasse:

    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])
    AND isset($_SERVER['REMOTE_ADDR'])
    AND in_array($_SERVER['REMOTE_ADDR'], Request::$trusted_proxies))
{
    //Use the forwarded IP address, typically set when the
    //client is using a proxy server.
    //Format: "X-Forwarded-For: client1, proxy1, proxy2"
    $client_ips = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);

    Request::$client_ip = array_shift($client_ips);

    unset($client_ips);
}
elseif (isset($_SERVER['HTTP_CLIENT_IP'])
    AND isset($_SERVER['REMOTE_ADDR'])
    AND in_array($_SERVER['REMOTE_ADDR'], Request::$trusted_proxies))
{
    //Use the forwarded IP address, typically set when the
    //client is using a proxy server.
    $client_ips = explode(',', $_SERVER['HTTP_CLIENT_IP']);

    Request::$client_ip = array_shift($client_ips);

    unset($client_ips);
}
elseif (isset($_SERVER['REMOTE_ADDR']))
{
    //The remote IP address
    Request::$client_ip = $_SERVER['REMOTE_ADDR'];
}

    Dies ist ziemlich so gut wie es geht. Bitte beachten Sie die Request::$trusted_proxies array, und dass Ihre $ip var ist Request::$client_ip in diesem Fall.

    InformationsquelleAutor Kemo
  3. 7

    Nicht überprüfen HTTP_* Header für die client-IP-es sei denn, Sie speziell wissen, Ihre Anwendung konfiguriert ist hinter einem reverse-proxy. Das Vertrauen in die Werte dieser Header bedingungslos wird den Nutzern zu fälschen Ihre IP-Adresse.

    Nur $_SERVER - Feld enthält ein verlässlicher Wert ist REMOTE_ADDR.

    • Ic.. ich würde tatsächlich hat das Skript hier stackoverflow.com/questions/444966/... können Sie erklären, warum jeder ist über diese Art der IP-Erkennung Skripts und legt es in eine Funktion mit dem Namen GetRealIp wenn der real-ip wird gespeichert in $_SERVER["REMOTE_ADDR"] ?
    • Weil Sie unsicheren code schreiben. Siehe die Kommentare!
    InformationsquelleAutor duskwuff
  4. 1

    Die beiden Dinge, die sind quasi identisch.. Im script gefunden, der Autor ist gerade dabei überprüft, ob das element im array gesetzt ist, bevor Sie überprüft haben, dass es nicht leer ist.

    In Bezug auf die Verwendung der empty()-Funktion anstelle des Vergleichs, überprüfen http://php.net/empty. Da Sie es mit einer variable, die gesetzt wird durch die Umwelt und nicht die Eingabe eines Benutzers ist es egal, welche der beiden Optionen Sie wählen. So sollte das Skript völlig in Ordnung

    • Ich meine, ich bin mir bewusst, dass es tut, eine leere zu überprüfen, Frage ich mich, ob es notwendig ist so etwas zu tun. In anderen Worten.. werde ich auch schon mal ein Ergebnis bekommen, dass ist mit der Länge null?
    InformationsquelleAutor klaustopher
Schreibe einen Kommentar