Двойной ip при определении ip пользователя?

Question

[Максим]

сайт и фронт и бэк лежат на vps
фронт на vue, бэк на ларе
при определении ip пользователя таким способом

if (!empty($_SERVER["HTTP_CLIENT_IP"])) {
            $ip = $_SERVER["HTTP_CLIENT_IP"];
        } elseif (!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) {
            $ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
        } else {
            $ip = $_SERVER["REMOTE_ADDR"];
        }

выдает сразу два ip через запятую: первый ip клиента, второй через запятую ip vps
вот так
"37.112.42.197, 45.84.226.210"
можно как-то исключать сразу ip vps, чтобы только пользователя выводил?

Comments

[FanatPHP]

в ужасе выкинуть на помойку этот ад, оставить $ip = $_SERVER["REMOTE_ADDR"];
если там лежит айпи "vps", то найти себе нормальный хостинг, а не это убожество

[Tim]

а что выводит Request::ip(); ?

[Somewhere Intech]

FanatPHP, причем тут впс?

[FanatPHP]

Somewhere Intech, потому что бывают хостинги настроенные руками из одного места, и в REMOTE_ADDR у них лежит свой собственный адрес, а реальный айпи надо выковыривать из НТТР заголовков.

[Максим]

FanatPHP, $ip = $_SERVER["REMOTE_ADDR"]; выдает 127.0.0.1

[FanatPHP]

Максим, ну дома-то и будет выводить

[Максим]

FanatPHP, не понял, я через axios отправляю запрос на API

await this.$axios
        .get('api/v1/geo')
        .then((result) => {
          commit('SET_DATA', result.data.data)
        })
        .catch((error) => {
          commit('SET_ERRORS', error)
        })

и выдает 127.0.0.1

vps лежит на beget, тех поддержка тоже пожимает руками, а я в этом нуб нубом

[FanatPHP]

Поскольку у тебя впс, это значит что сервер настраивал ты сам. Ну и вот. Зачем тебе ДВА веб-сервера?

[Максим]

FanatPHP, из тп написали Nginx проксирует запрос на Apache

[Максим]

FanatPHP, я два вроде не настраивал)

[FanatPHP]

А кто настраивал? У тебя точно впс, а не хостинг?

[Максим]

FanatPHP, да, vps, я просто установил ubuntu c vesta cp и пару пакетов установил для работы сайтов - npm, pm2

[FanatPHP]

Ну вот эта Веста и гадит

[Максим]

FanatPHP, буду проситть, чтобы фиксили этот момент

Answer 1

[stimu]

Настоящий IP находится только в REMOTE_ADDR, все остальное может содержать все что захотел написать отправляющий эти заголовки, хоть буквы.

Comments

[Максим]

если беру  $_SERVER["REMOTE_ADDR"] то выдает 127.0.0.1

Answer 2

[galaxy]

Первый бери. Второй - адрес прокси (возможно, твоего же фронта).

Comments

[FanatPHP]

Это откуда такие ценные сведения? Есть какой-то RFC, который задаёт порядок адресов через запяточечку?

[galaxy]

RFC нет. Так принято

[FanatPHP]

Принято что? Передавать айпи адрес в НТТР заголовках, серьёзно?

[galaxy]

FanatPHP, да, прокси часто так и делают. nginx, например, настраивается

[FanatPHP]

часто так делают те у кого кривые руки
а IP адрес берется из TCP пакета и кладется в REMOTE_ADDR

[galaxy]

FanatPHP, и получишь адрес прокси

[FanatPHP]

galaxy, очень хорошо.
лучше прокси, чем НТТР заголовок, написанный левой пяткой кем угодно

[FanatPHP]

очередной блин знаток проксей
каждый, буквально каждый пхп нуб, как только узнает о существовании супер-сикратнава НТТР заголовка HTTP_X_FORWARDED_FOR, начинает мнить себя гуру программирования, и ехидно посмеиваясь, начинает выковыривать из носа гениальный код чтобы перехитрить злобных хакиров.
и получает в итоге дыру, в которую ему насуют айпи адресов полную панамку

[Kovalsky]

FanatPHP, мне кажется можно было суть проблемы объяснить гораздо короче и без драматизма

[FanatPHP]

Kovalsky, проблема в том что эта ересь очень живуча.
вот и сейчас - товарищ galaxy в принципе неплохо знает предмет, и обычно пишет нормальные ответы
но вот здесь повторил эту глупость, и тут же появилась галочка одобрения. Типа "Но мы-то знаем как на самом деле!". Это бесит.

[Kovalsky]

FanatPHP, ну а какие у них варианты по факту? Я имею в виду какие есть еще способы получения реального айпи пользователя или хотя бы белый адрес последнего (самого нижнего) публичного гейта за которым находится пользователь? Почему не стоит пользоваться HTTP_X_FORWARDED_FOR, учитывая что там лежит инфа настолько же авторитетная как и инфа в REMOTE_ADDR (в случае если пользователь за прокси)?

К тому же, все топовые ответы по теме на SO принимают во внимание forwarded for:
https://stackoverflow.com/questions/13646690/how-t...
https://stackoverflow.com/questions/15699101/get-t...
https://stackoverflow.com/questions/3003145/how-to...

[FanatPHP]

Kovalsky, прости, я не понял логики. Меня учили простой булевой логике, а у вас какая-то небинарная, как гендеры в фейсбуке "по утрам я мальчик, по четвергам девочка, а каждый третий час называйте меня оно".

Если "в HTTP_X_FORWARDED_FOR лежит инфа настолько же авторитетная как и инфа в REMOTE_ADDR", то какой смысл тогда вообще смотреть на HTTP_X_FORWARDED_FOR ? если у тебя есть REMOTE_ADDR?

И нет, в HTTP_X_FORWARDED_FOR не лежит инфа настолько же авторитетная, как в REMOTE_ADDR
кроме совсем отдельных случае рукозадой настройки проксирующего веб-сервера

[galaxy]

Ох...
Kovalsky и все, кому тут еще интересна суть проблемы, а не то, что выше обсуждается.
Пусть есть фронт nginx и бек Apache+PHP (весьма распространенный сетап) на разных машинах/vps. Бек в REMOTE_ADDR увидит адрес фронта. Для того, чтобы у бека был доступ к адресу клиента, фронт может добавить заголовок X-Forwarded-For (специальная переменная есть даже - $proxy_add_x_forwarded_for) или более замороченный (зато стандартизированный) Forwarded. Есть и другие, более кривые способы (1, 2).

Многие публичные и не очень прокси тоже добавляют эти заголовки.

[FanatPHP]

Kovalsky,

К тому же, все топовые ответы по теме на SO

я выше писал что эта ересь очень живуча
ты сейчас подтвердил это примерами.
вы тут все полагаете стаковерфлой сверкающей вершиной чистого знания. Хотя в реальности там шастают точно такие же нубы, с точно такими же адскими представлениями о реальности.

[FanatPHP]

более кривые способы

ню-ню

[FanatPHP]

Kovalsky, и кстати, все три вопроса, на которые ты привел ссылки, закрыты как дубли вопроса, ответ на который содержит не привычное блеяние про "хихитипи клиент ипи", а нормальный ответ

[Kovalsky]

FanatPHP, ну то есть ты считаешь что принимать в расчёт данные из заголовка forwarded for не стоит, тк они могут быть абсолютно произвольные и ложные?

[FanatPHP]

Kovalsky, слепо - не стоит. в некоторых исключительных случаях приходится, когда на кривом хосте в REMOTE_ADDR лежит адрес самого хоста.
в этом случае надо сначала узнать, где точно лежит исходный IP, и брать его в строгом соответствии с тем, как IP туда пишется. Например, некоторые сервера пишут исходный айпи в REAL_IP. Или пишут его как последний адрес перед своим.
Главное здесь - следовать настройкам конкретного хоста, а не подставлять готовую "гениальную" функцию и не использовать универсальные советы типа "бери первый слева"

Но лучше всего не пользоваться таким кривым сервером совсем, а найти нормальный, который проксирует REMOTE_ADDR

[Kovalsky]

FanatPHP, вот об этом речь?

Note: REMOTE_ADDR might not contain the real IP of the TCP connection. This entirely depends on your SAPI. Ensure that your SAPI is properly configured such that $_SERVER['REMOTE_ADDR'] actually returns the IP of the TCP connection. Failing that might give rise to some serious vulnerabilities, for example, StackExchange used to grant admin access by checking REMOTE_ADDR to see if it matches "localhost", unfortunately the SAPI's config had a vulnerability (it takes HTTP_X_FORWARDED_FOR as input) which allows non-admins to gain admin access by altering the HTTP_X_FORWARDED_FOR header. Also see blog.ircmaxell.com/2012/11/anatomy-of-attack-how-i-hacked.html

[FanatPHP]

Kovalsky, ну там и сам ответ нормальный, поскольку не пихает сразу гениальную функцию, и предупреждает о проблемах НТТР заголовков
Ну и этот коммент тоже в тему.

[Kovalsky]

FanatPHP, спасибо

[batyrmastyr]

FanatPHP, вы таки зря беситесь от ответов «бери крайний слева», просто этим советам недостаёт главного - «проверь, что цепочку составил доверенный прокси и обойти его невозможно» т.е. апача / php-fpm наглухо закрыты от доступа снаружи.
Либо уж сказали бы «вот здесь написано как делают нормальные люди, ткни этим в хостера/админа».

Answer 3

[Somewhere Intech]

Поменять местами два последних условия
Почему

Comments

[Максим]

если беру $_SERVER["REMOTE_ADDR"] то выдает 127.0.0.1

[Somewhere Intech]

Максим, ошибочка вышла, берите из заголовка первый адрес пока не перестанете проксировать, я так понимаю стоит nginx?
split(", ", $_SERVER["HTTP_X_FORWARDED_FOR"])[0]

[Максим]

Somewhere Intech, там как мне сказали ngingx перенаправляет на apache

[galaxy]

Максим, пусть перенаправляет, сделайте, как написали. Чем вас не устраивает такой способ?