php 获取客户端的真实IP地址 和 检查客户端从什么地方过来的请求

/* * 函数功能: 获取客户端的真实IP地址 *  * 为什么要用这个函数? * 因为我们线上Web服务器绝大部分都处于Netscaler(简称NS)后面，客户端访问的地址统一由NS调度 * 由NS调度的访问其实就是NS做了一层代理, 这期间就有一个问题, 因为真实的地址是内部IP请求的 * 当我们的应用去请获取 $_SERVER["REMOTE_ADDR"] 的时候, 得到的就是 NS 的内部 IP, 获取不了 * 真正的客户端 IP 地址. *  * 当请求经过 NS 调度之后, NS 会把客户端的真实 IP 附加到 HTTP_CLIENT_IP 后，我们要提取的就 * 是这个地址.  *  * 如测试数据:  * [HTTP_CLIENT_IP] => 192.168.2.251, 192.168.3.252, 218.82.113.110 * 这条信息是我测试的结果, 前面两个 IP 是我伪造的, 最后那个 IP 才是我真实的地址. *  * 同样我也测试过通过代理的数据 * [HTTP_X_FORWARDED_FOR] => 192.168.2.179, 123.45.67.78 64.191.50.54 * 前面两个IP是我伪造的, 最后面那个地址才是 proxy 的真实地址 *  * 提醒:  * HTTP_CLIENT_IP, HTTP_X_FORWARDED_FOR 都可以在客户端伪造, 不要轻易直接使用这两个值, 因为 * 恶意用户可以在里面输入PHP代码, 或者像伪造 N 个', 让你的程序执行有问题, 如果要直接使用这 * 两个值的时候最简单的应该判断一下长度(最长15位), 或用正则匹配一下是否是一个有效的IP地址 *  * 参数: *  * @param string $proxy_override, [true|false], 是否优先获取从代理过来的地址 * @return string  * */function get_client_ip_from_ns($proxy_override = false) {   if ($proxy_override) {      /* 优先从代理那获取地址或者 HTTP_CLIENT_IP 没有值 */      $ip = empty($_SERVER["HTTP_X_FORWARDED_FOR"]) ? (empty($_SERVER["HTTP_CLIENT_IP"]) ? NULL : $_SERVER["HTTP_CLIENT_IP"]) : $_SERVER["HTTP_X_FORWARDED_FOR"];   } else {      /* 取 HTTP_CLIENT_IP, 虽然这个值可以被伪造, 但被伪造之后 NS 会把客户端真实的 IP 附加在后面 */      $ip = empty($_SERVER["HTTP_CLIENT_IP"]) ? NULL : $_SERVER["HTTP_CLIENT_IP"];   }   if (empty($ip)) {      $ip = $_SERVER['REMOTE_ADDR'];   }   /* 真实的IP在以逗号分隔的最后一个, 当然如果没用代理, 没伪造IP, 就没有逗号分离的IP */   if ($p = strrpos($ip, ",")) {      $ip = substr($ip, $p+1);   }   return trim($ip);}/* * 检查客户端从什么地方过来的请求 * * <code> *    // 严格检查此页面来源中域名必须包含 .dod.com *    if (!check_client_referer(true, '.dod.com')) { *       die('非法提交的数据'); *    } *    // 松散检查来源url中必须包含.51.com *    if (!check_client_referer()) { *       die('非法提交的数据'); *    } * </code> *  * @param bool   $restrict  是否进行严格的查检, 此方式为用正则对host进行匹配 * @param string $allow       允许哪些 referer 过来请求 * @return true / false       在允许的列表内返回true * */function check_client_referer($restrict = true, $allow = '.xx5.com') {   $referer = isset($_SERVER['HTTP_REFERER']) ? trim($_SERVER['HTTP_REFERER']) : null;   if (empty($referer)) { return true;    } /* 空的 referer 直接允许 */   if ($restrict) {      /* 更加严格的查检, 此值为true时, allow 可以输入正则来匹配 */      $url = parse_url($referer);      /* host 为空时直接返回不false */      if (empty($url['host'])) { return false; }       /* 将正则中的.替换掉为\.真正匹配.再进行匹配 */      $allow = '/'.str_replace('.', '\.', $allow).'/';      return 0 < preg_match($allow, $url['host']);   }   return false !== strpos($referer, $allow);}?>