Obtener la IP real del visitante, esta es la mejor forma?

neodani · #1 (**permalink**) 03/10/2010, 08:12

Buenas,

Me gustaría saber vuestros comentarios sobre esta función para conocer la IP real del visitante.

Código PHP:

Ver original<?php
function getRealIP()
{
   
   if( $_SERVER['HTTP_X_FORWARDED_FOR'] != '' )
   {
      $client_ip =
         ( !empty($_SERVER['REMOTE_ADDR']) ) ?
            $_SERVER['REMOTE_ADDR']
            :
            ( ( !empty($_ENV['REMOTE_ADDR']) ) ?
               $_ENV['REMOTE_ADDR']
               :
               "unknown" );
   
      // los proxys van añadiendo al final de esta cabecera
      // las direcciones ip que van "ocultando". Para localizar la ip real
      // del usuario se comienza a mirar por el principio hasta encontrar
      // una dirección ip que no sea del rango privado. En caso de no
      // encontrarse ninguna se toma como valor el REMOTE_ADDR
   
      $entries = split('[, ]', $_SERVER['HTTP_X_FORWARDED_FOR']);
   
      reset($entries);
      while (list(, $entry) = each($entries))
      {
         $entry = trim($entry);
         if ( preg_match("/^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/", $entry, $ip_list) )
         {
            // http://www.faqs.org/rfcs/rfc1918.html
            $private_ip = array(
                  '/^0\./',
                  '/^127\.0\.0\.1/',
                  '/^192\.168\..*/',
                  '/^172\.((1[6-9])|(2[0-9])|(3[0-1]))\..*/',
                  '/^10\..*/');
   
            $found_ip = preg_replace($private_ip, $client_ip, $ip_list[1]);
   
            if ($client_ip != $found_ip)
            {
               $client_ip = $found_ip;
               break;
            }
         }
      }
   }
   else
   {
      $client_ip =
         ( !empty($_SERVER['REMOTE_ADDR']) ) ?
            $_SERVER['REMOTE_ADDR']
            :
            ( ( !empty($_ENV['REMOTE_ADDR']) ) ?
               $_ENV['REMOTE_ADDR']
               :
               "unknown" );
   }
   
   return $client_ip;
   
}
?>

¿Usáis otra función diferente, esta os parece bien? encontráis algún fallo?

Muchas gracias de antemano

abimaelrc · #2 (**permalink**) 03/10/2010, 08:33

En realidad, obtener la ip real del visitante, tiene sus fallos. Hay servidores que sirven como proxy y algunos de ellos reportan el IP que tenía anteriormente y otros no. Por lo que verificar el ip, solo es cuestión de usar algún código sencillo como por ejemplo

Código PHP:

Ver original<?php
    function get_real_ip()
    {
 
        if (isset($_SERVER["HTTP_CLIENT_IP"]))
        {
            return $_SERVER["HTTP_CLIENT_IP"];
        }
        elseif (isset($_SERVER["HTTP_X_FORWARDED_FOR"]))
        {
            return $_SERVER["HTTP_X_FORWARDED_FOR"];
        }
        elseif (isset($_SERVER["HTTP_X_FORWARDED"]))
        {
            return $_SERVER["HTTP_X_FORWARDED"];
        }
        elseif (isset($_SERVER["HTTP_FORWARDED_FOR"]))
        {
            return $_SERVER["HTTP_FORWARDED_FOR"];
        }
        elseif (isset($_SERVER["HTTP_FORWARDED"]))
        {
            return $_SERVER["HTTP_FORWARDED"];
        }
        else
        {
            return $_SERVER["REMOTE_ADDR"];
        }
 
    }
    echo get_real_ip();

El código es tomado de http://www.vision.to/get-a-real-ip-vs-proxy.php
Si deseas usar el tuyo, también lo puedes hacer. Pero debes saber que no necesariamente vas a obtener la IP real del cliente, por lo que te indiqué. Y leyendo un tema por ahí, indican que no uses HTTP_X_FORWARDED_FOR porque una persona puede hacer un "spoofed", engañando al sistema y por lo tanto entrar como si fuera por ejemplo el servidor tuyo.

maycolalvarez · #3 (**permalink**) 03/10/2010, 09:28

tal como te dice @abimaelrc, no hay un método 100% fiable debido a los proxy's, un proxy bien configurado puede estar preparado para ello y de ninguna forma obtendrías el ip real

Miguelithox · #4 (**permalink**) 03/10/2010, 10:25

Cita:

Iniciado por abimaelrc

En realidad, obtener la ip real del visitante, tiene sus fallos. Hay servidores que sirven como proxy y algunos de ellos reportan el IP que tenía anteriormente y otros no. Por lo que verificar el ip, solo es cuestión de usar algún código sencillo como por ejemplo

Código PHP:

Ver original<?php
    function get_real_ip()
    {
 
        if (isset($_SERVER["HTTP_CLIENT_IP"]))
        {
            return $_SERVER["HTTP_CLIENT_IP"];
        }
        elseif (isset($_SERVER["HTTP_X_FORWARDED_FOR"]))
        {
            return $_SERVER["HTTP_X_FORWARDED_FOR"];
        }
        elseif (isset($_SERVER["HTTP_X_FORWARDED"]))
        {
            return $_SERVER["HTTP_X_FORWARDED"];
        }
        elseif (isset($_SERVER["HTTP_FORWARDED_FOR"]))
        {
            return $_SERVER["HTTP_FORWARDED_FOR"];
        }
        elseif (isset($_SERVER["HTTP_FORWARDED"]))
        {
            return $_SERVER["HTTP_FORWARDED"];
        }
        else
        {
            return $_SERVER["REMOTE_ADDR"];
        }
 
    }
    echo get_real_ip();

El código es tomado de http://www.vision.to/get-a-real-ip-vs-proxy.php
Si deseas usar el tuyo, también lo puedes hacer. Pero debes saber que no necesariamente vas a obtener la IP real del cliente, por lo que te indiqué. Y leyendo un tema por ahí, indican que no uses HTTP_X_FORWARDED_FOR porque una persona puede hacer un "spoofed", engañando al sistema y por lo tanto entrar como si fuera por ejemplo el servidor tuyo.

Muchas gracias por colocar este código, me servirá mucho en mi pronta y futura web (:

neodani · #5 (**permalink**) 03/10/2010, 14:09

Cita:

Iniciado por abimaelrc

En realidad, obtener la ip real del visitante, tiene sus fallos. Hay servidores que sirven como proxy y algunos de ellos reportan el IP que tenía anteriormente y otros no. Por lo que verificar el ip, solo es cuestión de usar algún código sencillo como por ejemplo

Código PHP:

Ver original<?php
    function get_real_ip()
    {
 
        if (isset($_SERVER["HTTP_CLIENT_IP"]))
        {
            return $_SERVER["HTTP_CLIENT_IP"];
        }
        elseif (isset($_SERVER["HTTP_X_FORWARDED_FOR"]))
        {
            return $_SERVER["HTTP_X_FORWARDED_FOR"];
        }
        elseif (isset($_SERVER["HTTP_X_FORWARDED"]))
        {
            return $_SERVER["HTTP_X_FORWARDED"];
        }
        elseif (isset($_SERVER["HTTP_FORWARDED_FOR"]))
        {
            return $_SERVER["HTTP_FORWARDED_FOR"];
        }
        elseif (isset($_SERVER["HTTP_FORWARDED"]))
        {
            return $_SERVER["HTTP_FORWARDED"];
        }
        else
        {
            return $_SERVER["REMOTE_ADDR"];
        }
 
    }
    echo get_real_ip();

El código es tomado de http://www.vision.to/get-a-real-ip-vs-proxy.php
Si deseas usar el tuyo, también lo puedes hacer. Pero debes saber que no necesariamente vas a obtener la IP real del cliente, por lo que te indiqué. Y leyendo un tema por ahí, indican que no uses HTTP_X_FORWARDED_FOR porque una persona puede hacer un "spoofed", engañando al sistema y por lo tanto entrar como si fuera por ejemplo el servidor tuyo.

Entonces si quisiera hacer por ejemplo que solo se ejecute un script si la llamada procede de una determinada página y tiene la IP del servidor (Ej. vía cron) debería fiarme solo de $_SERVER["REMOTE_ADDR"] ?

Muchas gracias de antemano!

abimaelrc · #6 (**permalink**) 03/10/2010, 16:50

Entiendo que sí, ya que no vas a saber el 100% de las personas de donde procede realmente.

neodani · #7 (**permalink**) 03/10/2010, 23:50

Cita:

Iniciado por abimaelrc

Entiendo que sí, ya que no vas a saber el 100% de las personas de donde procede realmente.

De acuerdo, muchas gracias :D

GatorV · #8 (**permalink**) 04/10/2010, 09:34

Si ejecutas un script vía cron y usango el CLI no vas a tener disponible $_SERVER['REMOTE_ADDR'] ya que esa variable se la informa el WebServer a PHP y via CLI no hay un WebServer.

Saludos.

neodani · #9 (**permalink**) 04/10/2010, 11:33

Cita:

Iniciado por GatorV

Si ejecutas un script vía cron y usango el CLI no vas a tener disponible $_SERVER['REMOTE_ADDR'] ya que esa variable se la informa el WebServer a PHP y via CLI no hay un WebServer.

Saludos.

A qué te refieres usando CLI (cliente php)?

Vía curl tampoco hay $_SERVER['REMOTE_ADDR']?

30 4 * * * /usr/bin/curl -u username:password http://localhost/protegido/boletin.php

Gracias

abimaelrc · #10 (**permalink**) 04/10/2010, 11:46

A lo que se refiere a usar el Command Line. Ya que el CLI se ejecuta aparte del servidor web y esa variable ($_SERVER) son dadas (o mejor dicho, el servidor web almacena la información en esa variable) por el servidor web, tal como Apache, IIS, etc.

GatorV · #11 (**permalink**) 04/10/2010, 14:27

Si lo haces por curl no hay problema ya que es un request desde el mismo server vía HTTP, pero de esa forma tu Cron es accesible via web, lo que puede ser un riesgo de seguridad, es por eso que esas tareas se piensen hacer vía CLI y fuera del Document Root.

Saludos.