web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
来源:互联网 发布:淘宝千人千面有哪些面 编辑:程序博客网 时间:2024/04/27 16:04
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR) ,我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则:“一切输入都是有害的”,因此,只要是输入我们就需要进行过滤。
安全过滤后的getIP函数
function getIP() {$realip = ''; //设置默认值if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {$realip = $_SERVER['HTTP_X_FORWARDED_FOR'];} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {$realip = $_SERVER['HTTP_CLIENT_IP'];} else {$realip = $_SERVER['REMOTE_ADDR'];}preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/',$realip,$match);return $match?$match[0]:false;}
以上函数,增加了IP判断,只会读取以Ip格式数据开头,并且第一个满足IP格式值。如果没有返回false。 这样就可以读取到满足格式的IP,验证了数据的IP格式。
如果我读取互联网的IP,用户传入局域网的IP,我应该直接过滤掉
我们在一些网站上面,经常可以看到提示,非法的IP地址,其实一部分是IP地址格式错误,一部分可能是读取到IP地址,不满足互联网上面允许IP格式。 以下这个函数,是通过IANA站点规范,封装了个函数。 通过输入IP地址,能够准确知道,该IP是不是可以在互联网应用。
//互联网允许使用IP地址function ipType2($ip) {$iplist = explode(".", $ip);if ($iplist[0] >= 224 && $iplist[0] <= 239)return '多播';if ($iplist[0] >= 240 && $iplist[0] <= 255)return '保留';if (preg_match('/^198\.51\.100/', $ip))return 'TEST-NET-2,文档和示例';if (preg_match('/^203\.0\.113/', $ip))return 'TEST-NET-3,文档和示例';if (preg_match('/^192\.(18|19)\./', $ip))return '网络基准测试';if (preg_match('/^192\.168/', $ip))return '专用网络[内部网]';if (preg_match('/^192\.88\.99/', $ip))return 'ipv6to4中继';if (preg_match('/^192\.0\.2\./', $ip))return 'TEST-NET-1,文档和示例';if (preg_match('/^192\.0\.0\./', $ip))return '保留(IANA)';if (preg_match('/^192\.0\.0\./', $ip))return '保留(IANA)';if ($iplist[0] == 172 && $iplist[1] <= 31 && $iplist[1] >= 16)return '专用网络[内部网]';if ($iplist[0] == 169 && $iplist[1] == 254)return '链路本地';if ($iplist[0] == 127)return '环回地址';if ($iplist[0] == 10)return '专用网络[内部网]';if ($iplist[0] == 0)return '本网络(仅作为源地址时合法)';return 'InterNet网地址';}
当你输入IP地址,它返回是“’InterNet网地址’ ,那么这个IP地址不光格式正确,而且是互联网上面合法的IP地址。 这个函数很复杂,其实就是排除很多非互联网使用IP地址。 我们常见的192,127,10开头地址估计都很熟悉了。 但实际上,很多IP地址是保留的,或者留作它用。 不能作为互联网 IP使用。 有了以上两个函数,我们不光可以读到正确格式IP地址,还能够保证读到是互联网上面IP地址。 以上是工作中常使用的函数,欢迎朋友们交流!
作者:chengmo QQ:8292669
原文网址:http://blog.chacuo.net/103.html
订阅保持关注:http://blog.chacuo.net/feed
0 0
- web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
- web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
- 获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
- 获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
- 获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
- HTTP_X_FORWARDED_FOR获取用户Ip地址通用方法常见安全隐患
- 获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
- 获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
- REMOTE_ADDR,HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR 获取用户IP
- 使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
- 使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
- 使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
- HTTP_X_FORWARDED_FOR获取到的IP地址
- 获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
- 获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
- 获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)[转]
- 获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
- 获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR
- 求职面试--复习笔记3
- 网络爬虫获得网页内容的方法
- AAC 文件解析及解码流程
- 硬盘里的文件被删还能恢复吗
- php中的引用
- web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
- 存储过程创建视图Oracle
- CSS3 transform
- 解决 Errors running builder 'DeploymentBuilder' on project ' .NullPointerException
- 浏览器DNS缓存
- 用SEO五招轻松搞定竞争对手
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 为什么要使用多线程编程?线程同步的方法主要有哪些?
- win7+64位+Oracle+11g+64位下使用PLSQL+Developer+的解决办法