真实ip能否被php正确获取取决于web服务器配置、php信任设置及应用层读取方式;需在nginx中配置set_real_ip_from和real_ip_header,并在php中优先解析x-forwarded-for等头字段。
宝塔面板本身不直接处理IP透传,真实IP能否被PHP正确获取,取决于你用的Web服务器(Nginx/apache)是否配置了反向代理头、PHP是否信任这些头,以及应用层是否用对了获取方式。默认情况下,PHP的 $_SERVER['REMOTE_ADDR'] 拿到的是宝塔前端(比如Nginx)的连接IP,不是用户真实IP——尤其当你用了CDN、负载均衡或反向代理时。
确认你是否处于反向代理链路中
这是前提。如果你的站点直接面向用户(没开CDN、没套SLB、没自己配Nginx反代),那 $_SERVER['REMOTE_ADDR'] 就是真实IP,无需额外配置。但只要经过任何一层代理(包括宝塔自带的Nginx作为静态服务+PHP-FPM分离部署),就极大概率需要透传 X-Forwarded-For 或 X-Real-IP。
- 常见场景:开了腾讯云/阿里云CDN、用了Cloudflare、自建Nginx反代、宝塔开启“网站重定向”或“反向代理”功能
- 验证方法:在PHP里打印
print_r($_SERVER),看是否存在HTTP_X_FORWARDED_FOR、HTTP_X_REAL_IP、HTTP_X_FORWARDED_FOR等字段,且值看起来像公网IP - 注意:CDN厂商可能用不同头名,比如Cloudflare用
HTTP_CF_CONNECTING_IP,腾讯云CDN常用HTTP_X_REAL_IP
Nginx配置需透传真实IP头
宝塔的Nginx站点配置默认不写透传逻辑,必须手动加。进入「网站」→「设置」→「配置文件」,在 location ~ .php$ 块**外部**(通常在 server 块内)添加:
set_real_ip_from 127.0.0.1; set_real_ip_from ::1; real_ip_header X-Forwarded-For; real_ip_recursive on;这段的作用是让Nginx把 X-Forwarded-For 最左的有效IP写入 $remote_addr,后续PHP的 $_SERVER['REMOTE_ADDR'] 才会变成真实IP。关键点:
立即学习“PHP免费学习笔记(深入)”;
-
set_real_ip_from必须列出所有可信代理IP(如CDN回源IP段、你自己的反代服务器IP),不能只写0.0.0.0/0,否则会被伪造 - 如果你用的是腾讯云CDN,要查其官方回源IP段,逐条加进
set_real_ip_from - 改完记得「重载配置」,不要只点保存
PHP代码里别硬写 $_SERVER[‘REMOTE_ADDR’]
即使Nginx配置了 real_ip,很多PHP程序(尤其老框架或自写逻辑)仍习惯直接读 $_SERVER['REMOTE_ADDR']。这在没透传时错,在透传后也可能因Nginx未生效而错。更稳妥的方式是按优先级取值:
$ip = $_SERVER['REMOTE_ADDR'] ?? ''; if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; } elseif (!empty($_SERVER['HTTP_X_REAL_IP'])) { $ip = $_SERVER['HTTP_X_REAL_IP']; } elseif (!empty($_SERVER['HTTP_CF_CONNECTING_IP'])) { $ip = $_SERVER['HTTP_CF_CONNECTING_IP']; } // 过滤掉可能的多IP(如 X-Forwarded-For: 1.1.1.1, 2.2.2.2) $ip = explode(',', $ip)[0]; $ip = trim($ip);这个逻辑比单纯依赖Nginx更健壮,但前提是你的Nginx确实把头传进来了——如果Nginx没配置 proxy_set_header,HTTP_X_* 就根本不会出现在 $_SERVER 里。
Apache环境要额外加 RewriteRule 和 SetEnvIf
用Apache的用户容易忽略这点:宝塔默认Apache不解析 X-Forwarded-For。你需要在站点根目录的 .htaccess 或虚拟主机配置里加:
SetEnvIf X-Forwarded-For "^.*..*..*..*" proxy-ip RequestHeader set X-Real-IP %{REMOTE_ADDR}s env=proxy-ip # 或启用 mod_remoteip 模块(更推荐,但需宝塔编译支持)不过绝大多数宝塔用户用的是Nginx,Apache下真实IP问题更隐蔽,因为 mod_remoteip 默认不启用,且宝塔界面不提供图形化开关。
最常被忽略的其实是信任边界:Nginx的 set_real_ip_from 如果漏写某个CDN回源段,或者PHP代码无条件取 X-Forwarded-For 而不校验来源,攻击者就能伪造IP绕过限流或风控。真实IP不是“配一下就能有”,而是整个链路(CDN → Nginx → PHP)每一环都得对齐信任策略。