首頁猿問如下圖，是我測試的一段代碼訪問一個...

如下圖，是我測試的一段代碼訪問一個IP查詢服務(wù)的服務(wù)，可以看出，可以任何偽造ip地址！

PHP

小怪獸愛吃肉 2023-04-08 14:10:54

當(dāng)前正在做的一個PHP項目，需要驗證用戶的IP地址是否在授權(quán)范圍中，請問有什么方法可以避免用戶偽造IP？或者，是否能提供一個其他思路？補充：實際場景為rest調(diào)用，調(diào)用和被調(diào)用端都為服務(wù)器~

查看完整描述

3 回答

慕勒3428872

TA貢獻1848條經(jīng)驗獲得超6個贊

提供幾個思路：

如果是局域網(wǎng)環(huán)境，那么建議你從系統(tǒng)上，甚至路由器上去限制IP
如果是公開的，偽造IP將無法收到你的Response，也就是說這個Response會發(fā)到那個被偽造的IP去。所以，除非是對你做泛洪攻擊，偽造IP沒有意義。

再說你評論的那個方案，其實是一種驗證的手段，我倒是覺得，這種手段和對稱加密沒什么兩樣，當(dāng)然對稱加密成本要比你說的握手方式成本低很多。

總之，限制IP是為了做訪問限制，而為了數(shù)據(jù)安全，還是要做加密和身份驗證，對稱加密是個好辦法（對稱加密中加入時間等元素，安全性一般比較高）。

反對回復(fù) 2023-04-11

絕地?zé)o雙

TA貢獻1946條經(jīng)驗獲得超4個贊

"HTTP_" 開頭的$_SERVER很容易偽造.

服務(wù)段判斷還是挺容易的. 其實下面這個代碼也是判斷是否使用proxy.

<?php
    if (       $_SERVER['HTTP_X_FORWARDED_FOR']
       || $_SERVER['HTTP_X_FORWARDED']
       || $_SERVER['HTTP_FORWARDED_FOR']
       || $_SERVER['HTTP_CLIENT_IP']
       || $_SERVER['HTTP_VIA']
       || in_array($_SERVER['REMOTE_PORT'], array(8080,80,6588,8000,3128,553,554)))
       || @fsockopen($_SERVER['REMOTE_ADDR'], 80, $errno, $errstr, 30))
    {         
    echo "we caught you";
    } ?>

結(jié)論:服務(wù)段最好只取$_SERVER['REMOTE_ADDR']

反對回復(fù) 2023-04-11