Web サイトがユーザー IP を取得する安全な方法 HTTP_X_FORWARDED_FOR Inspection

ホームページ

バックエンド開発

PHPチュートリアル

Web サイトがユーザー IP を取得する安全な方法 HTTP_X_FORWARDED_FOR Inspection_PHP チュートリアル

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 03:10 PM

forhttpweb関数安全性方法テストユーザーのサイト得るフィルター

セキュリティフィルターされたgetIP関数

コードをコピーしますコードは次のとおりです:

preg_match('/^((?:d{1,3}.){3}d{1,3})/',$realip,$match);
return $match?$match[0]:false ;
}

上記関数はIP判定を追加し、IP形式で始まるデータと、最初にIP形式の値を満たしたデータのみを読み込みます。そうでない場合は false を返します。このようにして、フォーマットを満たす IP を読み取ることができ、データの IP フォーマットが検証されます。

インターネットの IP、ユーザーの受信 LAN の IP を読み取る場合は、それを直接フィルタリングする必要があります

一部の Web サイトでは、不正な IP アドレスが実際には IP アドレス形式エラーの一部であり、その一部は IP アドレスが読み取られ、インターネットで許可されている IP 形式を満たしていない可能性があるというプロンプトをよく見かけます。次の関数は、IANA サイト仕様を通じて関数をカプセル化します。 IPアドレスを入力すると、そのIPがインターネット上で利用できるかどうかを正確に知ることができます。

コードをコピーしますコードは次のとおりです:

//インターネットではIPアドレスの使用が許可されています
function ipType2($ip) {
$iplist =explode(".", $ip);

if ($iplist[0] >= 224 && $iplist[0] return 'マルチキャスト';
if ($iplist[0] >= 240 && $iplist[0] 「保持」を返す;

if (preg_match('/^198.51.100/', $ip))
return 'TEST-NET-2、ドキュメントと例';
if (preg_match('/^203.0.113/', $ip))
'TEST-NET-3、ドキュメントと例' を返します;

if (preg_match('/^192.(18|19)./', $ip))
return 'ネットワークベンチマークテスト';

if (preg_match('/^192.168/', $ip))
return 'プライベートネットワーク [イントラネット]';

if (preg_match('/^192.88.99/', $ip))
return 'ipv6to4 リレー';
if (preg_match('/^192.0.2./', $ip))
return 'TEST-NET -1、ドキュメントと例';
if (preg_match('/^192.0.0./', $ip))
return '予約済み (IANA)';
if (preg_match('/^192.0.0./ ' 、$ip))
return '予約済み (IANA)';

if ($iplist[0] == 172 && $iplist[1] = 16)
return 'プライベートネットワーク [イントラネット]';

if ($iplist[0] == 169 && $iplist[1] == 254)
return 'リンクローカル';
if ($iplist[0] == 127)
return 'ループバックアドレス';
if ( $iplist[0] == 10)
return 'プライベートネットワーク [イントラネット]';
if ($iplist[0] == 0)
return 'このネットワーク (送信元アドレスとしてのみ有効)';

「インターネットアドレス」を返します;
}

IP アドレスを入力して「'インターネットアドレス'」が返された場合、この IP アドレスは正しい形式であるだけでなく、インターネット上の合法的な IP アドレスでもあります。この機能は非常に複雑で、実際には多くの非インターネットアドレスが除外されます。 -インターネット IP アドレス 192、127、10 で始まる一般的なアドレスはおそらくよく知られていますが、実際には、上記の 2 つの機能を使用すると、正しい形式を読み取ることができるだけではありません。 . IP アドレスはインターネット上の IP アドレスであることも保証できます。

著者: chengmo QQ:8292669

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

セッションを保存するためにデータベースを使用することの利点は何ですか？Apr 24, 2025 am 12:16 AM

データベースストレージセッションを使用することの主な利点には、持続性、スケーラビリティ、セキュリティが含まれます。 1。永続性：サーバーが再起動しても、セッションデータは変更されないままになります。 2。スケーラビリティ：分散システムに適用され、セッションデータが複数のサーバー間で同期されるようにします。 3。セキュリティ：データベースは、機密情報を保護するための暗号化されたストレージを提供します。

PHPでカスタムセッション処理をどのように実装しますか？Apr 24, 2025 am 12:16 AM

PHPでのカスタムセッション処理の実装は、SessionHandlerInterfaceインターフェイスを実装することで実行できます。具体的な手順には、次のものが含まれます。1）CussentsessionHandlerなどのSessionHandlerInterfaceを実装するクラスの作成。 2）セッションデータのライフサイクルとストレージ方法を定義するためのインターフェイス（オープン、クローズ、読み取り、書き込み、破壊、GCなど）の書き換え方法。 3）PHPスクリプトでカスタムセッションプロセッサを登録し、セッションを開始します。これにより、データをMySQLやRedisなどのメディアに保存して、パフォーマンス、セキュリティ、スケーラビリティを改善できます。

セッションIDとは何ですか？Apr 24, 2025 am 12:13 AM

SessionIDは、ユーザーセッションのステータスを追跡するためにWebアプリケーションで使用されるメカニズムです。 1.ユーザーとサーバー間の複数のインタラクション中にユーザーのID情報を維持するために使用されるランダムに生成された文字列です。 2。サーバーは、ユーザーの複数のリクエストでこれらの要求を識別および関連付けるのに役立つCookieまたはURLパラメーターを介してクライアントに生成および送信します。 3.生成は通常、ランダムアルゴリズムを使用して、一意性と予測不可能性を確保します。 4.実際の開発では、Redisなどのメモリ内データベースを使用してセッションデータを保存してパフォーマンスとセキュリティを改善できます。

ステートレス環境（APIなど）でセッションをどのように処理しますか？Apr 24, 2025 am 12:12 AM

APIなどのステートレス環境でのセッションの管理は、JWTまたはCookieを使用して達成できます。 1。JWTは、無国籍とスケーラビリティに適していますが、ビッグデータに関してはサイズが大きいです。 2.cookiesはより伝統的で実装が簡単ですが、セキュリティを確保するために慎重に構成する必要があります。

セッションに関連するクロスサイトスクリプティング（XSS）攻撃からどのように保護できますか？

セッション関連のXSS攻撃からアプリケーションを保護するには、次の測定が必要です。1。セッションCookieを保護するためにHTTPonlyとセキュアフラグを設定します。 2。すべてのユーザー入力のエクスポートコード。 3.コンテンツセキュリティポリシー（CSP）を実装して、スクリプトソースを制限します。これらのポリシーを通じて、セッション関連のXSS攻撃を効果的に保護し、ユーザーデータを確保できます。

PHPセッションのパフォーマンスを最適化するにはどうすればよいですか？Apr 23, 2025 am 12:13 AM

PHPセッションのパフォーマンスを最適化する方法は次のとおりです。1。遅延セッション開始、2。データベースを使用してセッションを保存します。これらの戦略は、高い並行性環境でのアプリケーションの効率を大幅に改善できます。

session.gc_maxlifetime構成設定とは何ですか？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifettinginttinginphpdethinesthelifsessessiondata、setinseconds.1）it'sconfiguredinphp.iniorviaini_set（）。 2）AbalanceSneededToAvoidPerformanceIssues andunexpectedLogouts.3）php'sgarbagecollectionisisprobabilistic、影響を受けたBygc_probabi

PHPでセッション名をどのように構成しますか？Apr 23, 2025 am 12:08 AM

PHPでは、session_name（）関数を使用してセッション名を構成できます。特定の手順は次のとおりです。1。session_name（）関数を使用して、session_name（ "my_session"）などのセッション名を設定します。 2。セッション名を設定した後、session_start（）を呼び出してセッションを開始します。セッション名の構成は、複数のアプリケーション間のセッションデータの競合を回避し、セキュリティを強化することができますが、セッション名の一意性、セキュリティ、長さ、設定タイミングに注意してください。

See all articles