本当に $_SERVER['REMOTE_ADDR'] を信頼できますか?

$_SERVER['REMOTE_ADDR'] の信頼性

$_SERVER['REMOTE_ADDR'] は Web 開発において重要な変数です。 HTTP リクエストを開始するクライアントの IP アドレスを提供します。ただし、この値は簡単に偽装できるという一般的な誤解があり、その信頼性について懸念が生じます。

Can $_SERVER['REMOTE_ADDR'] Be Trusted?

はい、通常は $_SERVER['REMOTE_ADDR'] 値を信頼しても安全です。これはクライアントの TCP 接続の IP アドレスを表し、HTTP ヘッダーを変更して変更することはできません。これは、IP アドレスが TCP/IP 接続のプロパティであり、HTTP ヘッダーの一部として送信されないためです。

潜在的な落とし穴

ただし、次のような問題があります。このルールに対する重要な例外が 1 つあります。サーバーがリバース プロキシの背後にある場合、REMOTE_ADDR はクライアントではなくプロキシ サーバーの IP アドレスを表します。この場合、クライアントの IP アドレスは HTTP ヘッダー (通常は X-Forwarded-For) に含まれます。

たとえば、サーバーが IP アドレス 111.111.111.111 のリバース プロキシの背後にある場合、リクエストはサーバーはその IP アドレスから発信されているように見えます。このシナリオでクライアントの IP アドレスを取得するには、X-Forwarded-For ヘッダーを調べる必要があります。

ただし、リバース プロキシを使用せずにクライアントから HTTP リクエストを直接受信する最も一般的なシナリオでは、信頼$_SERVER['REMOTE_ADDR'] は、クライアントの IP アドレスを決定するための信頼できるアプローチです。

以上が本当に $_SERVER['REMOTE_ADDR'] を信頼できますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。