$_SERVER['REMOTE_ADDR'] est-il sécurisé et fiable dans le développement Web ?

Implications sur la sécurité de la confiance dans $_SERVER['REMOTE_ADDR']

Dans le développement Web, $_SERVER['REMOTE_ADDR'] stocke l'adresse IP source adresse du client qui a initié la demande. Vous vous demandez peut-être si s'appuyer sur cette valeur est sécurisé et si elle est susceptible d'être manipulée.

Fiabilité de $_SERVER['REMOTE_ADDR']

Oui, il est généralement sûr de faites confiance à $_SERVER['REMOTE_ADDR']. Il représente l'IP source de la connexion TCP établie entre le client et le serveur. Modifier cette valeur en manipulant les en-têtes HTTP n'est pas possible.

Considérations de sécurité potentielles

Cependant, soyez prudent si vous êtes derrière un proxy inverse. Dans de tels scénarios, REMOTE_ADDR reflète toujours l'adresse IP du serveur proxy et l'adresse IP du client est fournie dans un en-tête HTTP tel que X-Forwarded-For.

Exemple :

Considérez l'extrait de code suivant :

if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { // my ip address
    $grant_all_admin_rights = true;
}

Dans cet exemple, faire confiance à REMOTE_ADDR est sûr car il s'agit de l'adresse IP source de la connexion. Changer l'en-tête ne modifiera pas cette valeur, ce qui en fait un indicateur fiable de l'origine du client.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!