关于 HTTP_X_FORWARDED_FOR

By jat001 at 2013-04-27 17:36:52 • 987次点击

目前是这样简单过滤
$onlineip = addslashes($onlineip);

是不是该用一个正则来严格识别ip?

ego008 at 2013-04-27 17:52:39
1

@ego008 (\d{1,3}\.){3}\d{1,3} 我写的 ipv4 的,ipv6 不太好写

jat001 at 2013-04-27 18:02:29
2

@jat001 v6太复杂了,要不考虑只放字符集[a-zA-Z0-9\.:,]

ego008 at 2013-04-27 18:17:48
3

@ego008 我还是觉得复杂点好,安全,目前 ipv6 用户还不多,不如先不考虑

jat001 at 2013-04-27 18:32:09
4

@jat001 "HTTP_X_FORWARDED_FOR"变量可能包含多个IP

ego008 at 2013-04-27 18:34:57
5

@ego008 我知道,正常情况下是第一个,另外在 BAE 上只有 HTTP_X_FORWARDED_FOR 能获得访客的真实 ip,不知道 SAE 上是什么情况?

jat001 at 2013-04-27 18:45:21
6

@jat001 还是暂时取消通过HTTP_X_FORWARDED_FOR获取用户ip,目前程序在数据库还没用到用户ip,除了缓存版,以ip为key 来记录一个ip 的上次注册时间,SAE 版同步微博是需要附送ip。

若有代码,代码在获取时就被实行,对变量的过滤、识别只为下文利用。

ego008 at 2013-04-27 18:45:42
7

@ego008 我是指这样写容易被 SQL 注入,没有用到的话就无所谓了,不过增加个记录用户注册、最后登录 ip 的功能倒不错。

jat001 at 2013-04-27 18:53:01
8

@jat001

SAE
onlineip: 74.63.xxx.xxx, 74.63.xxx.xxx
HTTP_CLIENT_IP:

HTTP_X_FORWARDED_FOR: 74.63.xxx.xxx, 74.63.xxx.xxx
REMOTE_ADDR: 74.63.xxx.xxx

ego008 at 2013-04-27 19:58:39
9
登录 后发表评论