Как защититься от подменяемых http заголовков?

Question

[mrWan]

Сделал свои кастомные заголовки, в них кинул выдуманный ip, на своем сервере этот выдуманны ip и был показан в масиве $_SERVER, как можно от этого защититься ?

Answer 1

[Александр Аксентьев]

читать IP не из заголовков...
Отправить можно все что угодно.

$_SERVER['REMOTE_ADDR'] не из заголовков берется.

Answer 2

[Александр]

Если вы отправляете на сервер какой-либо собственный заголовок, то к нему добавляется префикс HTTP_. Для примера, если вы отправляете заголовок REMOTE_ADDR, то во всех скриптах на вашем сайте этот заголовок будет доступен как $_SERVER['HTTP_REMOTE_ADDR']

Скриншот с примером собственного заголовка с IP

Это вывод ключей и значений массива $_SERVER. Как видно, переданный мной IP был записан в $_SERVER['HTTP_REMOTE_ADDR'], а настоящий IP записан, как полагается, в $_SERVER['REMOTE_ADDR']