Eu sei que há uma infinidade de cabeçalhos de variáveis $ _SERVER disponíveis para recuperação de endereço IP. Eu queria saber se existe um consenso geral sobre como recuperar com mais precisão o endereço IP real de um usuário (sabendo que nenhum método é perfeito) usando as referidas variáveis?
Passei algum tempo tentando encontrar uma solução detalhada e criei o seguinte código com base em várias fontes. Eu adoraria se alguém pudesse, por favor, abrir buracos na resposta ou lançar alguma luz sobre algo talvez mais preciso.
A edição inclui otimizações do @Alix
/**
* Retrieves the best guess of the client's actual IP address.
* Takes into account numerous HTTP proxy headers due to variations
* in how different ISPs handle IP addresses in headers between hops.
*/
public function get_ip_address() {
// Check for shared internet/ISP IP
if (!empty($_SERVER['HTTP_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_CLIENT_IP']))
return $_SERVER['HTTP_CLIENT_IP'];
// Check for IPs passing through proxies
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
// Check if multiple IP addresses exist in var
$iplist = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
foreach ($iplist as $ip) {
if ($this->validate_ip($ip))
return $ip;
}
}
}
if (!empty($_SERVER['HTTP_X_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_X_FORWARDED']))
return $_SERVER['HTTP_X_FORWARDED'];
if (!empty($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']) && $this->validate_ip($_SERVER['HTTP_X_CLUSTER_CLIENT_IP']))
return $_SERVER['HTTP_X_CLUSTER_CLIENT_IP'];
if (!empty($_SERVER['HTTP_FORWARDED_FOR']) && $this->validate_ip($_SERVER['HTTP_FORWARDED_FOR']))
return $_SERVER['HTTP_FORWARDED_FOR'];
if (!empty($_SERVER['HTTP_FORWARDED']) && $this->validate_ip($_SERVER['HTTP_FORWARDED']))
return $_SERVER['HTTP_FORWARDED'];
// Return unreliable IP address since all else failed
return $_SERVER['REMOTE_ADDR'];
}
/**
* Ensures an IP address is both a valid IP address and does not fall within
* a private network range.
*
* @access public
* @param string $ip
*/
public function validate_ip($ip) {
if (filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_IPV4 |
FILTER_FLAG_IPV6 |
FILTER_FLAG_NO_PRIV_RANGE |
FILTER_FLAG_NO_RES_RANGE) === false)
return false;
self::$ip = $ip;
return true;
}
Palavras de Advertência (atualização)
REMOTE_ADDR
ainda representa a fonte mais confiável de um endereço IP. As outras $_SERVER
variáveis mencionadas aqui podem ser falsificadas por um cliente remoto com muita facilidade. O objetivo desta solução é tentar determinar o endereço IP de um cliente sentado atrás de um proxy. Para seus propósitos gerais, considere usá-lo em combinação com o endereço IP retornado diretamente $_SERVER['REMOTE_ADDR']
e armazenando os dois.
Para 99,9% dos usuários, esta solução atenderá perfeitamente às suas necessidades. Não o protegerá dos 0,1% de usuários mal-intencionados que desejam abusar do seu sistema injetando seus próprios cabeçalhos de solicitação. Se depender de endereços IP para algo de missão crítica, recorra REMOTE_ADDR
e não se preocupe em atender àqueles atrás de um proxy.