PHP 里用來獲取客戶端 IP 的變量有這些:

$_SERVER['HTTP_CLIENT_IP'] 這個(gè)頭是有的，但是很少，不一定服務(wù)器都實(shí)現(xiàn)了。客戶端可以偽造。（推薦學(xué)習(xí)：PHP編程從入門到精通）

$_SERVER['HTTP_X_FORWARDED_FOR'] 是有標(biāo)準(zhǔn)定義，用來識別經(jīng)過 HTTP 代理后的客戶端 IP 地址，格式：clientip,proxy1,proxy2。詳細(xì)解釋見 http://zh.wikipedia.org/wiki/X-Forwarded-F…。 客戶端可以偽造。

$_SERVER['REMOTE_ADDR'] 是可靠的， 它是最后一個(gè)跟你的服務(wù)器握手的 IP，可能是用戶的代理服務(wù)器，也可能是自己的反向代理?？蛻舳瞬荒軅卧?。

客戶端可以偽造的參數(shù)必須過濾和驗(yàn)證！很多人以為 $_SERVER 變量里的東西都是可信的，其實(shí)并不不然，$_SERVER['HTTP_CLIENT_IP'] 和 $_SERVER['HTTP_X_FORWARDED_FOR'] 都來自客戶端請求的 header 里面。

如果要嚴(yán)格獲取用戶真實(shí) ip

在反爬蟲，防刷票的時(shí)候，客戶端可以偽造的東西，我們一律不信任，此為嚴(yán)格獲取。

沒有套 CDN，用戶直連我們的 PHP 服務(wù)器

這種情況下用 tcp 層握手的 ip，$_SERVER['REMOTE_ADDR']

自建集群用 nginx 實(shí)現(xiàn)負(fù)載均衡的時(shí)候

這種情況下，PHP 應(yīng)用服務(wù)器不能對外暴露，我們在 nginx 中實(shí)現(xiàn)獲取真實(shí) IP 再換發(fā)給 PHP 服務(wù)器。

location /{    proxy_set_header client-real-ip $remote_addr; }

client-real-ip 可以隨意自己命名，我們將 tcp 層中跟 nginx 握手的 ip 轉(zhuǎn)發(fā)給 PHP。

使用 CDN，從 PHP 服務(wù)器取源的時(shí)候

CDN 會轉(zhuǎn)發(fā)客戶端的握手 ip 過來，各家策略有差異，具體去查 CDN 的文檔。

當(dāng)然我們也可以把需要嚴(yán)格核查的業(yè)務(wù)綁一個(gè)二級域名，單獨(dú)走我們自己的 nginx 服務(wù)器，避開 CDN。