Как проверить, что запрос от localhost?

Question

[PO6OT]

$_SERVER[REMOTE_ADDR]=='127.0.0.1' не работает

Answer 1

[Константин]

Вот так это делает symfony, думаю, что есть смысл прислушаться:

// This check prevents access to debug front controllers that are deployed by accident to production servers.
// Feel free to remove this, extend it, or make something more sophisticated.
if (isset($_SERVER['HTTP_CLIENT_IP'])
    || isset($_SERVER['HTTP_X_FORWARDED_FOR'])
    || !(in_array(@$_SERVER['REMOTE_ADDR'], array('127.0.0.1', 'fe80::1', '::1')) || php_sapi_name() === 'cli-server')
) {
    header('HTTP/1.0 403 Forbidden');
    exit('You are not allowed to access this file. Check '.basename(__FILE__).' for more information.');
}

Comments

[PO6OT]

не работает:

<?php

    ob_start();
    date_default_timezone_set('Europe/Kiev');
    $request=$_SERVER[REQUEST_URI];
    list($page, $qs)=explode('?', $request, 2);
    parse_str($qs, $_GET);
    unset($qs);
if(!(!$page or $page=='/')){
$pageq=explode('.', $page);
if(!(isset($_SERVER['HTTP_CLIENT_IP'])
|| isset($_SERVER['HTTP_X_FORWARDED_FOR'])
|| !(in_array(@$_SERVER['REMOTE_ADDR'], array('127.0.0.1', 'fe80::1', '::1'))
|| php_sapi_name() === 'cli-server'))
|| ($pageq[1]!=''&$pageq[1]!='php')){
    $page=str_replace('display.txt', 'display.php', $page);
    @include('.'.$page);
}else{
    header('HTTP/1.1 403 Forbidden');
}
    exit;
}

[Константин]

Вадим Егоров: какой ужасный код. Что именно в нем не работает? На какой строке что приходит, а что ожидается?

[PO6OT]

unity_ultra_hardcore:

<?php
$pageq=explode('.', $page);
if(!(isset($_SERVER['HTTP_CLIENT_IP'])
|| isset($_SERVER['HTTP_X_FORWARDED_FOR'])
|| !(in_array(@$_SERVER['REMOTE_ADDR'], array('127.0.0.1', 'fe80::1', '::1'))
|| php_sapi_name() === 'cli-server'))
|| ($pageq[1]!=''&$pageq[1]!='php')) //ожидается, что маршрутизирующий (данный) скрипт подключит запрашиваемый файл, если его требует скрипт на этой же машине, либо если у файла есть расширение и оно не php
{
    $page=str_replace('display.txt', 'display.php', $page);
    @include('.'.$page);
}else{
    header('HTTP/1.1 403 Forbidden');
}
    exit;

[PO6OT]

unity_ultra_hardcore: извините, пишу срочно, поэтому говнокод присутствует

[Константин]

Предлагаю разбить задачу на две: определение локалхоста и связанные с этим действия. Первая часть - здесь. https://gist.github.com/sc0rp10/f75e2481a085aad6a313. Что выводится, если в вашем файле оставить только этот код?

[PO6OT]

unity_ultra_hardcore: сейчас проверю.
у меня система не организована так, чтобы я видел, что видит localhost

[PO6OT]

unity_ultra_hardcore: bool(false)

[Константин]

Тогда до кучи выведите в самом низу var_dump($_SERVER['REMOTE_ADDR'], $_SERVER['HTTP_CLIENT_IP']);

[PO6OT]

unity_ultra_hardcore: запрос и от localhost, и от другого устройства выдаёт bool(false)

[PO6OT]

unity_ultra_hardcore:

запрос от localhost:

bool(false) Notice: Undefined index: HTTP_CLIENT_IP in /home/u505132718/public_html/godaemon/script.php on line 11 string(13) "31.220.16.181" NULL

запрос от другого устройства:

bool(false) string(12) "37.73.195.86" NULL

[Константин]

Сходу не придумаю причину такого поведения (если, конечно, исключить ошибку в ваших действиях). Возможно, hosts не настроены, возможно что-то еще. А если попробовать сравнить $_SERVER['REMOTE_ADDR'] и $_SERVER['SERVER_ADDR']?

[PO6OT]

unity_ultra_hardcore:
Всё работает так:

$is_localhost = true;
if (isset($_SERVER['HTTP_CLIENT_IP'])
    || isset($_SERVER['HTTP_X_FORWARDED_FOR'])
    || !(in_array(@$_SERVER['REMOTE_ADDR'], array('127.0.0.1', 'fe80::1', '::1')) || php_sapi_name() === 'cli-server')
) {
    $is_localhost = false;
}
echo '<br>1.'; var_dump($is_localhost);
echo '<br>2.'; var_dump($_SERVER['REMOTE_ADDR']);
echo '<br>3.'; var_dump($_SERVER['HTTP_CLIENT_IP']);
echo '<br>4.'; var_dump($_SERVER['SERVER_ADDR']);

/* Выводит:
1.bool(false) 
2.string(13) "31.220.16.181" 
3. Notice: Undefined index: HTTP_CLIENT_IP in /home/u505132718/public_html/godaemon/script.php on line 12 NULL 
4.string(13) "31.220.16.182"

[PO6OT]

unity_ultra_hardcore: но:

if($_SERVER['REMOTE_ADDR']==$_SERVER['SERVER_ADDR'])
echo 'true';
else
echo 'false';

выводит false в обоих случаях

[PO6OT]

потому, что 31.220.16.181 != 31.220.16.182

[PO6OT]

unity_ultra_hardcore: нашел решение:

if(substr($_SERVER['REMOTE_ADDR'], 0, -1)==substr($_SERVER['SERVER_ADDR'], 0, -1))

Answer 2

[PO6OT]

if(substr($_SERVER['REMOTE_ADDR'], 0, -1)==substr($_SERVER['SERVER_ADDR'], 0, -1))