原因:可能被伪造ip
- /**
- * 获取客户端IP地址
- * @param integer $type 返回类型 0 返回IP地址 1 返回IPV4地址数字
- * @return mixed
- */
- function get_client_ip($type = 0) {
- $type = $type ? 1 : 0;
- static $ip = NULL;
- if ($ip !== NULL) return $ip[$type];
- if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
- $arr = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
- $pos = array_search('unknown',$arr);
- if(false !== $pos) unset($arr[$pos]);
- $ip = trim($arr[0]);
- }elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
- $ip = $_SERVER['HTTP_CLIENT_IP'];
- }elseif (isset($_SERVER['REMOTE_ADDR'])) {
- $ip = $_SERVER['REMOTE_ADDR'];
- }
- // IP地址合法验证
- $long = sprintf("%u",ip2long($ip));
- $ip = $long ? array($ip, $long) : array('0.0.0.0', 0);
- return $ip[$type];
- }
复制代码
源代码如此,通过HTTP_X_FORWARDED_FOR可以获取到代理背后的真实IP,但是也有一个隐患,那就是用户可能通过伪造的头来改变HTTP_X_FORWARDED_FOR,而REMOTE_ADDR 是无法伪造的吧?
也就是说,用REMOTE_ADDR 虽然可能会有少部分用户通过切换代理IP来刷票,但是我觉得还是比HTTP_X_FORWARDED_FOR安全。
那怎么才能保证不被人恶意刷票呢?
将两种IP都获取到,另外设置个cookie,只要其中有一个重复或者cookie存在就无效,麻烦了些,不知道有没有更好的办法。
