$_SERVER['REMOTE_ADDR']
est l'adresse IP sur laquelle la connexion TCP est entrée. Bien qu'il soit techniquement possible d'usurper bidirectionnellement les adresses IP sur Internet (en annonçant des routes frauduleuses via BGP), ces attaques sont susceptibles d'être repérées et non disponibles pour l'attaquant type. En gros, votre attaquant doit avoir le contrôle d'un fournisseur d'accès. Il n'y a pas d'attaques d'usurpation unidirectionnelles contre TCP (pour l'instant). Cependant, l'usurpation d'adresse IP bidirectionnelle est triviale sur un réseau local.
Sachez également que ce n'est peut-être pas un IPv4, mais une adresse IPv6. Votre vérification actuelle est correcte à cet égard, mais si vous vérifiez que 1.2.3.4
se produit seulement n'importe où dans $_SERVER['REMOTE_ADDR']
, un attaquant pourrait simplement se connecter à partir 2001:1234:5678::1.2.3.4
. En résumé, pour toute application autre que critique (bancaire/militaire/dommages potentiels> 50.000 €), vous pouvez utiliser l'adresse IP distante si vous pouvez exclure les pirates de votre réseau local.
En ajoutant aux réponses existantes, ce sera toujours l'adresse IP qui a fait la demande à votre serveur, mais cela ne signifie pas que c'est l'adresse IP de l'ordinateur qui a lancé la requête. N'importe quel nombre de serveurs proxy peut être entre vous et l'utilisateur final, et le plus proche de vous est l'adresse IP que vous obtenez. –
oui c'est sûr car on ne peut pas être substitué par d'autres astuces ou de la triche. mais assurez-vous d'ajouter plus de vérifier la variable $ grant_all_admin_rights. –
Toute variable $ _SERVER peut être usurpée - par ex. curl_setopt ($ ch, CURLOPT_HTTPHEADER, tableau ("REMOTE_ADDR: $ ip", "HTTP_X_FORWARDED_FOR: $ ip")); Cela dépend donc entièrement du contexte: si l'attaquant attend une réponse, il retournera à $ ip. S'ils ne se soucient pas de la réponse, ils peuvent certainement usurper l'en-tête. Si votre code après la vérification de l'en-tête à la place dit: "open_the_door_to_badguys();" vous auriez un problème. – TMG