除了MySQL，代理IPH还能够用于很多不同的开发软件中，比如PHP。PHP如何防止伪造IP地址注入攻击?跟着机灵代理来看看这个问题如何解决吧!

　　伪造IP地址进行注入攻击：

　　IP伪造有几种途径，一种是通过是修改IP数据包，有兴趣的可以去看看IP数据包的结构，还有一种就是利用修改http头信息来实现IP伪造。涉及到“客户端”IP的通常使用3个环境变量：$_SERVER['HTTP_CLIENT_IP']和$_SERVER['X_FORWARDED_FOR']还有$_SERVER['REMOTE_ADDR']实际上，这3个环境变量都有局限性。前两个是可以随意伪造。只要在发送的http头里设置相应值就可以，任意字符都可以，而第3个环境变量，如果用户使用了匿名代理，那这个变量显示的就是代理IP。

　　一般获取IP后更新到数据库代码如：$sql="update t_users set login_ip='".get_client_ip()."' where ..."，而如果接收到的ip地址是：xxx.xxx.xxx.xxx';delete from t_users;-- ，代入参数SQL语句就变成了："update t_users set login_ip='xxx.xxx.xxx.xxx';delete from t_users;-- where ...

　　所以获取IP地址后，务必使用正则等对IP地址的有效性进行验证，另外一定要使用参数化SQL命令!

　　总结：

　　1、"X-FORWARDED-FOR" 是代理服务器通过 HTTP Headers 提供的客户端IP。代理服务器可以伪造任何IP。

　　2、要防止伪造，不要读这个IP即可(同时告诉用户不要用HTTP 代理)。

　　3、如果是PHP，$_SERVER['REMOTE_ADDR'] 就是跟你服务器直接连接的IP，用这个就可以了。

　　获取服务器IP地址：

　　/**

　　* 获取服务端IP地址

　　* @return string

　　* @since 1.0 2016-7-1 SoChishun Added.

　　*/

　　function get_host_ip() {

　　return isset($_SERVER['HTTP_X_FORWARDED_HOST']) ? $_SERVER['HTTP_X_FORWARDED_HOST'] : (isset($_SERVER['HTTP_HOST']) ? $_SERVER['HTTP_HOST'] : '');

　　}

　　从了解攻击是如何实现到防止的解决方案，我们可以看到PHP的使用是非常具有灵活性的。想要了解更多代理IP、大数据相关资讯，请关注机灵代理。