Có an toàn để tin tưởng $ _SERVER ['REMOTE_ADDR'] không?

Có an toàn để tin tưởng $_SERVER['REMOTE_ADDR']? Nó có thể được thay thế bằng cách thay đổi tiêu đề của yêu cầu hoặc một cái gì đó tương tự không?

Có an toàn để viết một cái gì đó như thế không?

if ($_SERVER['REMOTE_ADDR'] == '222.222.222.222') { // my ip address
    $grant_all_admin_rights = true;
}

Vâng, nó an toàn. Đây là IP nguồn của kết nối TCP và không thể thay thế bằng cách thay đổi tiêu đề HTTP.

Một trường hợp bạn có thể muốn lo lắng là nếu bạn đứng sau proxy ngược, trong trường hợp này, REMOTE_ADDR sẽ luôn là IP của máy chủ proxy và IP của người dùng sẽ được cung cấp trong tiêu đề HTTP (chẳng hạn như X-Forwarded-For ). Nhưng đối với trường hợp sử dụng thông thường, đọc REMOTE_ADDR là tốt.

$_SERVER['REMOTE_ADDR']là địa chỉ IP mà kết nối TCP đã sử dụng. Mặc dù về mặt kỹ thuật, có thể giả mạo địa chỉ IP hai chiều trên Internet (bằng cách thông báo các tuyến đường xấu qua BGP), các cuộc tấn công như vậy có khả năng bị phát hiện và không có sẵn cho kẻ tấn công điển hình - về cơ bản, kẻ tấn công của bạn phải có quyền kiểm soát đối với ISP hoặc nhà cung cấp dịch vụ. Không có cuộc tấn công giả mạo một chiều khả thi nào chống lại TCP (chưa). Mặc dù vậy, giả mạo IP hai chiều là không đáng kể trên mạng LAN.

Cũng lưu ý rằng nó có thể không phải là IPv4 mà là địa chỉ IPv6. Kiểm tra hiện tại của bạn là tốt về mặt đó, nhưng nếu bạn kiểm tra mà 1.2.3.4chỉ xảy ra ở bất kỳ đâu bên trong $_SERVER['REMOTE_ADDR'], kẻ tấn công có thể chỉ cần kết nối từ 2001:1234:5678::1.2.3.4.

Tóm lại, đối với bất kỳ thứ gì khác ngoài các ứng dụng quan trọng (ngân hàng / quân sự / thiệt hại tiềm ẩn> 50.000 €), bạn có thể sử dụng địa chỉ IP từ xa nếu bạn có thể loại trừ những kẻ tấn công trong mạng cục bộ của mình.

Như đã nói ở trên, nó không an toàn tuyệt đối. Nhưng nó không có nghĩa là bạn không nên sử dụng nó. Hãy xem xét kết hợp điều này với một số phương pháp xác thực khác, chẳng hạn như kiểm tra các giá trị COOKIE.