如何檢測用戶是否位於PHP中的本地主機上？

Question

換句話說，我如何判斷使用我的Web應用程序的人是否位於它駐留的服務器上？如果我沒有記錯，PHPMyAdmin出於安全原因做了這樣的事情。

Answer 1

您也可以使用$_SERVER['REMOTE_ADDR']，其中請求的客戶端的IP地址由Web服務器提供。

$whitelist = array(
    '127.0.0.1', 
    '::1' 
); 

if(!in_array($_SERVER['REMOTE_ADDR'], $whitelist)){ 
    // not valid 
} 

Answer 2

$_SERVER["REMOTE_ADDR"]應該告訴你用戶的IP。儘管如此，這是可欺騙的。

查詢this bounty question進行了非常詳細的討論。

我想你對PHPMyAdmin的記憶是不同的：許多MySQL服務器被配置爲只能從本地主機訪問才能出於安全原因。

Answer 3

似乎它不應該使用$_SERVER['HTTP_HOST']，因爲這是在HTTP頭值，很容易僞造。

您也可以使用$_SERVER["REMOTE_ADDR"]，這是更安全的價值，但它也有可能是假的。這remote_addr是Apache返回結果的地址。

Answer 4

較新的OS用戶（運7,8）也可以認爲有必要在其白名單中包括陣列IPv6格式的遠程地址：

$whitelist = array('127.0.0.1', "::1"); 

if(!in_array($_SERVER['REMOTE_ADDR'], $whitelist)){ 
    // not valid 
} 

Answer 5

作爲補充，作爲函數...

function is_localhost() { 
    $whitelist = array('127.0.0.1', '::1'); 
    return in_array($_SERVER['REMOTE_ADDR'], $whitelist); 
} 

Answer 6

如果你想有一個支持靜態IP和動態名一個白名單/允許列表。

例如：

$whitelist = array("localhost", "127.0.0.1", "devel-pc.ds.com", "liveserver.com"); 
if (!isIPWhitelisted($whitelist)) die(); 

這種方式，你可以設置的名/ IP地址將能夠（肯定）被檢測到的列表。動態名稱爲從不同點訪問提供了更大的靈活性。

你有兩個共同選擇這裏，你可以在你的本地主機設置一個文件的文件名或者你可以只使用一個動態域名提供商，可以在任何地方找到。

該函數的CACHES結果是因爲gethostbyname是一個非常慢的函數。

對於這個章節目標，我實現了這個功能：

function isIPWhitelisted($whitelist = false) 
{ 
    if (isset($_SESSION) && isset($_SESSION['isipallowed'])) 
     { return $_SESSION['isipallowed']; } 

    // This is the whitelist 
    $ipchecklist = array("localhost", "127.0.0.1", "::1"); 
    if ($whitelist) $ipchecklist = $whitelist; 

    $iplist = false; 
    $isipallowed = false; 

    $filename = "resolved-ip-list.txt"; 
    $filename = substr(md5($filename), 0, 8)."_".$filename; // Just a spoon of security or just remove this line 

    if (file_exists($filename)) 
    { 
     // If cache file has less than 1 day old use it 
     if (time() - filemtime($filename) <= 60*60*24*1) 
      $iplist = explode(";", file_get_contents($filename)); // Read cached resolved ips 
    } 

    // If file was not loaded or found -> generate ip list 
    if (!$iplist) 
    { 
     $iplist = array(); $c=0; 
     foreach ($ipchecklist as $k => $iptoresolve) 
     { 
      // gethostbyname: It's a VERY SLOW function. We really need to cache the resolved ip list 
      $ip = gethostbyname($iptoresolve); 
      if ($ip != "") $iplist[$c] = $ip; 
      $c++; 
     } 

     file_put_contents($filename, implode(";", $iplist)); 
    } 

    if (in_array($_SERVER['REMOTE_ADDR'], $iplist)) // Check if the client ip is allowed 
     $isipallowed = true; 

    if (isset($_SESSION)) $_SESSION['isipallowed'] = $isipallowed; 

    return $isipallowed; 
} 

爲了更好的可靠性，你可以更換$ _ SERVER [ 'REMOTE_ADDR']爲get_ip_address（）是@Pekka中提到他post as 「this bounty question」

Answer 7

我找到了一個簡單的答案。

因爲所有本地驅動器具有C：或d：或F：...等

只是檢測，如果第二個字是：

if (substr_compare(getcwd(),":",1,1) == 0) 
{ 
echo '<script type="text/javascript">alert(" The working dir is at the local computer ")</script>'; 
    $client_or_server = 'client'; 
} 
else 
{ 
echo '<script type="text/javascript">alert(" The working dir is at the server ")</script>'; 
    $client_or_server = 'server'; 
} 

Answer 8

如何比較$_SERVER['SERVER_ADDR'] === $_SERVER['REMOTE_ADDR']，以確定是否客戶端與服務器在同一臺計算機上？