Ответ 1
$_SERVER['REMOTE_ADDR'] не может быть изменен пользователем или через HTTP, чтобы вы могли доверять ему.
Можно ли доверять $_SERVER ['REMOTE_ADDR']?
У меня есть веб-сайт, на котором доступны только несколько человек, поэтому количество зарегистрированных IP-адресов очень ограничено. Все, что отправлено зарегистрированными админами, отправляется в определенную папку, зависящую от их IP-адреса. Опять же, они не могут получить доступ к веб-сайту через прокси-сервер или что-то еще, потому что существует ограниченный диапазон IP-адресов.
Могу ли я доверять $_SERVER['REMOTE_ADDR'], чтобы предоставить действительный IP-адрес, чтобы система журналов была на 100% стабильной и эффективной?
Ответы
Ответ 2
Это основное правило, согласно которому вы не должны доверять аутентичности удаленного IP-адреса для всех, где подделка внутри сети может вызвать реальные проблемы.
Защищенные системы аутентифицируют не только клиента на сервере, но и сервер для клиента (для защиты от выдачи имени сервера учетным данным для входа в phish), обычно используя асимметричную криптографию.