web站點(diǎn)獲取用戶IP的安全方法 HTTP_X_FORWARDED_FOR檢驗(yàn)

更新時(shí)間：2013年06月01日 12:47:13 作者：

通過上一篇，獲取用戶Ip地址通用方法常見安全隱患(HTTP_X_FORWARDED_FOR) ，我們已經(jīng)意識(shí)到直接從http_x_forwarded_for中讀取用戶IP，跟我們直接從一個(gè)get,post值中讀取其實(shí)沒有兩樣。web參數(shù)檢測(cè)里面一個(gè)基本原則：“一切輸入都是有害的”，因此，只要是輸入我們就需要進(jìn)行過濾

安全過濾后的getIP函數(shù)

復(fù)制代碼代碼如下:

preg_match('/^((?:\d{1,3}\.){3}\d{1,3})/',$realip,$match);
return $match?$match[0]:false;
}

以上函數(shù)，增加了IP判斷，只會(huì)讀取以Ip格式數(shù)據(jù)開頭，并且第一個(gè)滿足IP格式值。如果沒有返回false。這樣就可以讀取到滿足格式的IP，驗(yàn)證了數(shù)據(jù)的IP格式。

如果我讀取互聯(lián)網(wǎng)的IP，用戶傳入局域網(wǎng)的IP，我應(yīng)該直接過濾掉

我們?cè)谝恍┚W(wǎng)站上面，經(jīng)?？梢钥吹教崾?，非法的IP地址，其實(shí)一部分是IP地址格式錯(cuò)誤，一部分可能是讀取到IP地址，不滿足互聯(lián)網(wǎng)上面允許IP格式。以下這個(gè)函數(shù)，是通過IANA站點(diǎn)規(guī)范，封裝了個(gè)函數(shù)。通過輸入IP地址，能夠準(zhǔn)確知道，該IP是不是可以在互聯(lián)網(wǎng)應(yīng)用。

復(fù)制代碼代碼如下:

//互聯(lián)網(wǎng)允許使用IP地址
function ipType2($ip) {
$iplist = explode(".", $ip);

if ($iplist[0] >= 224 && $iplist[0] <= 239)
return '多播';
if ($iplist[0] >= 240 && $iplist[0] <= 255)
return '保留';

if (preg_match('/^198\.51\.100/', $ip))
return 'TEST-NET-2，文檔和示例';
if (preg_match('/^203\.0\.113/', $ip))
return 'TEST-NET-3，文檔和示例';

if (preg_match('/^192\.(18|19)\./', $ip))
return '網(wǎng)絡(luò)基準(zhǔn)測(cè)試';

if (preg_match('/^192\.168/', $ip))
return '專用網(wǎng)絡(luò)[內(nèi)部網(wǎng)]';

if (preg_match('/^192\.88\.99/', $ip))
  return 'ipv6to4中繼';
if (preg_match('/^192\.0\.2\./', $ip))
  return 'TEST-NET-1，文檔和示例';
if (preg_match('/^192\.0\.0\./', $ip))
  return '保留（IANA）';
if (preg_match('/^192\.0\.0\./', $ip))
  return '保留（IANA）';

if ($iplist[0] == 172 && $iplist[1] <= 31 && $iplist[1] >= 16)
return '專用網(wǎng)絡(luò)[內(nèi)部網(wǎng)]';

if ($iplist[0] == 169 && $iplist[1] == 254)
  return '鏈路本地';
if ($iplist[0] == 127)
  return '環(huán)回地址';
if ($iplist[0] == 10)
  return '專用網(wǎng)絡(luò)[內(nèi)部網(wǎng)]';
if ($iplist[0] == 0)
  return '本網(wǎng)絡(luò)（僅作為源地址時(shí)合法）';

return 'InterNet網(wǎng)地址';
}

當(dāng)你輸入IP地址，它返回是“'InterNet網(wǎng)地址' ，那么這個(gè)IP地址不光格式正確，而且是互聯(lián)網(wǎng)上面合法的IP地址。這個(gè)函數(shù)很復(fù)雜，其實(shí)就是排除很多非互聯(lián)網(wǎng)使用IP地址。我們常見的192,127,10開頭地址估計(jì)都很熟悉了。但實(shí)際上，很多IP地址是保留的，或者留作它用。不能作為互聯(lián)網(wǎng) IP使用。有了以上兩個(gè)函數(shù)，我們不光可以讀到正確格式IP地址，還能夠保證讀到是互聯(lián)網(wǎng)上面IP地址。以上是工作中常使用的函數(shù)，歡迎朋友們交流！

作者：chengmo QQ:8292669

您可能感興趣的文章: