復制代碼 代碼如下:

function getIP() {
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$realip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
$realip = $_SERVER['HTTP_CLIENT_IP'];
} else {
$realip = $_SERVER['REMOTE_ADDR'];
}
return $realip;
}

第2步，修改x-forword-fox值，我們看看結(jié)果

哈哈，看到上面結(jié)果沒，x-forwarded-for不光可以自己設置值，而且可以設置任意格式值。 這樣一來，好比就直接有一個可以寫入任意值的字段。并且服務器直接讀取，或者寫入數(shù)據(jù)庫，或者做顯示。它將帶來危險性，跟一般對入輸入沒有做任何過濾檢測，之間操作數(shù)據(jù)源結(jié)果一樣。 并且容易帶來隱蔽性。

上面getip函數(shù)，除了客戶端可以任意偽造IP，并且可以傳入任意格式IP。 這樣結(jié)果會帶來2大問題，其一，如果你設置某個頁面，做IP限制。 對方可以容易修改IP不斷請求該頁面。 其二，這類數(shù)據(jù)你如果直接使用，將帶來SQL注冊，跨站攻擊等漏洞。至于其一，可以在業(yè)務上面做限制，最好不采用IP限制。 對于其二，這類可以帶來巨大網(wǎng)絡風險。我們必須加以糾正。

需要對getip 進行修改，得到安全的getip函數(shù)。

這類問題，其實很容易出現(xiàn)，以前我就利用這個騙取了大量偽裝投票。有它的隱蔽性，其實只要我們搞清楚了，某些值來龍去脈的話。理解了它的原理，修復該類bug將是非常容易。

題外話，做技術(shù)，有三步，先要會做，會解決；后要思考為什么要這么做，原因原理是什么；最后是怎么樣做，有沒有其它方法。多問問自己，你發(fā)現(xiàn)距離技術(shù)真理越來越近。你做事會越來越得心應手的！

作者：chengmo QQ:8292669