PHPの$ _SERVER ['REMOTE_ADDR']の信頼性

Question

localhostから管理するように設計されたサイトを構築していますが、インターネットやローカルネットワークユーザーにデータを公開するページが含まれています。 PHPの$ _SERVER ['REMOTE_ADDR']をローカルホストとしてユーザを識別するための安全で信頼できる方法として利用できますか？ ありがとう！

編集： 明確にするために、私は（おそらくより良い方法がある）要求がローカルホストから発信するか否かを判断して心配です。

Answer 1

この変数はApache（または別のWebサーバーデーモン）によって提供されるデータで満たされているため、接続の反対側のIPアドレスを信頼できるはずです。 127.x.x.x（ほぼ常に127.0.0.1）と:: 1（IPv6の場合）を確認します。 Senicaの言うとおり、常に存在するとは限りません（たとえば、Webサーバーではなくコマンドラインから実行している場合など）。しかし、それが満たされれば、それは信頼できるものでなければなりません。

これを偽造できるようにするには、誰かがすでにあなたのネットワークとシステムにかなりのアクセスを必要としています。

Answer 2

いいえWebサーバによって、remote_addrが提供されているかどうかは異なります。

リトラクトTHAT。 .. HTTP_REFERERについて考えました。

それはあなたにIPアドレスを与える必要があります...はい。プロキシが存在する可能性があることを忘れないで

Answer 3

通常、ローカルホストからの接続には適用されませんが、プロキシを考慮する必要があります。リモートエンドがHTTPプロキシを使用している場合、$_SERVER['REMOTE_ADDR']には、クライアント自体のIPアドレスではなく、そのプロキシのIPアドレスが含まれます。

それが無効になってプライバシー設定を持っているプロキシである場合は、その後、あなたは以下のコードを使用して、クライアントのIPを取得する機会を持っていることがあります。

// will be set by the proxy if no privacy is enabled: 
if(!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { 
    return $_SERVER['HTTP_X_FORWARDED_FOR']; 
} else if(isset($_SERVER['REMOTE_ADDR'])) { 
    return $_SERVER['REMOTE_ADDR']; 
} 

しかし、あなたのクライアントは、プライバシーとHTTPプロキシを使用している場合有効にすると、クライアントIPを取得する機会はありません。

---

セキュリティヒント（感謝@deceze）あなたはHTTP_X_FORWARDED_FORヘッダに依存している場合、攻撃者が自分のIPを偽装するために、それが簡単になることに注意してください。これは他の手法でも可能ですが、HTTP_X_FORWARDED_FORヘッダーを使用すると非常に簡単になります。あなたは警告されています。しかし、とにかくWebアプリケーションはセキュリティのためにIP情報を使うべきではないので、それは単なるメモです