获取客户端IP方案

获取客户端IP，很多代码都会拿 HTTP_CLIENT_IP的值，其次拿 HTTP_X_FORWARDED_FOR，最后是REMOTE_ADDR。
关于这个的讨论见:http://www.douban.com/group/topic/27482290/
比较的好的获取客户端IP和验证IP代码是怎样的

以下内容是听取答案后的总结
1. HTTP_CLIENT_IP头是有的，只是未成标准，不一定服务器都实现了。
2. HTTP_X_FORWARDED_FOR 是有标准定义，用来识别经过HTTP代理后的客户端IP地址，格式：clientip,proxy1,proxy2。详细解释见 http://zh.wikipedia.org/wiki/X-Forwarded-For
3. REMOTE_ADDR 是可靠的， 它是最后一个跟你的服务器握手的IP，可能是用户的代理服务器，也可能是自己的反向代理。
关于伪造： HTTP_*头都很容易伪造。例如使用火狐插件伪造x-forwarded_forIP为 8.8.8.8，此时清掉cookie再访问http://www.58.com， 它会以为你是 8.8.8.8来的。参考： sf上另一个关于伪造IP的问题
一段不错的获取IP代码:

function get_client_ip(){    foreach (array(                'HTTP_CLIENT_IP',                'HTTP_X_FORWARDED_FOR',                'HTTP_X_FORWARDED',                'HTTP_X_CLUSTER_CLIENT_IP',                'HTTP_FORWARDED_FOR',                'HTTP_FORWARDED',                'REMOTE_ADDR') as $key) {        if (array_key_exists($key, $_SERVER)) {            foreach (explode(',', $_SERVER[$key]) as $ip) {                $ip = trim($ip);                //会过滤掉保留地址和私有地址段的IP，例如 127.0.0.1会被过滤                //也可以修改成正则验证IP                if ((bool) filter_var($ip, FILTER_VALIDATE_IP,                                FILTER_FLAG_IPV4 |                                FILTER_FLAG_NO_PRIV_RANGE |                                FILTER_FLAG_NO_RES_RANGE)) {                    return $ip;                }            }        }    }    return null;}

参考 @joyqi 的思路，有些情况可以考虑只获取 REMOTE_ADDR（PS:一般不会这样做）

REMOTE_ADDR 是你的客户端跟你的服务器“握手”时候的IP。如果使用了“匿名代理”，REMOTE_ADDR将显示代理服务器的IP。 
HTTP_CLIENT_IP 是代理服务器发送的HTTP头。如果是“超级匿名代理”，则返回none值。同样，REMOTE_ADDR也会被替换为这个代理服务器的IP。 
$_SERVER['REMOTE_ADDR']; //访问端（有可能是用户，有可能是代理的）IP 
$_SERVER['HTTP_CLIENT_IP']; //代理端的（有可能存在，可伪造） 
$_SERVER['HTTP_X_FORWARDED_FOR']; //用户是在哪个IP使用的代理（有可能存在，也可以伪造）