应在 probe.php 开头用 PHP 实现 IP 白名单校验,支持单 IP、通配符和 CIDR,通过 get_client_ip() 获取真实 IP,配合 ip_in_cidr() 函数匹配,失败时 header+die 强制终止;禁用 .htaccess/nginx 仅因代理/cdn 和平台限制导致失效。
怎么在 probe.php 里加 IP 白名单校验
PHP探针本质是暴露服务器敏感信息的脚本,不加访问控制等于把钥匙挂在门口。最直接有效的方式,是在 probe.php 开头插入 IP 校验逻辑——不是靠 .htaccess 或 Nginx(那些可能被绕过),而是 PHP 层面强制拦截。
- 必须用
get_client_ip()获取真实 IP,不能只读$_SERVER['REMOTE_ADDR'],否则代理/CDN 后的请求永远匹配不上白名单 - 白名单支持单 IP、
192.168.1.*通配、CIDR(如203.0.113.0/24),但 PHP 原生不支持 CIDR 匹配,得自己写ip_in_cidr()函数或用filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4)先做基础合法性检查 - 校验失败必须用
die()终止执行,不能只 echo 提示后继续运行phpinfo()
function get_client_ip() { if (!empty($_SERVER['HTTP_X_forWARDED_FOR'])) { return explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'])[0]; } if (!empty($_SERVER['HTTP_CLIENT_IP'])) { return $_SERVER['HTTP_CLIENT_IP']; } return $_SERVER['REMOTE_ADDR']; } function ip_in_cidr($ip, $cidr) { list($subnet, $mask) = explode('/', $cidr); if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) === false) return false; $ip_long = ip2long($ip); $subnet_long = ip2long($subnet); $mask_long = -1 << (32 - $mask); return ($ip_long & $mask_long) === ($subnet_long & $mask_long); }
$whitelist = ['127.0.0.1', '192.168.1.*', '203.0.113.0/24']; $client_ip = get_client_ip();
$allowed = false; foreach ($whitelist as $rule) { if (strpos($rule, '') !== false) { $pattern = str_replace('', '[0-9]{1,3}', preg_quote($rule, '/')); if (preg_match('/^' . $pattern . '$/', $client_ip)) { $allowed = true; break; } } elseif (strpos($rule, '/') !== false) { if (ip_in_cidr($client_ip, $rule)) { $allowed = true; break; } } elseif ($client_ip === $rule) { $allowed = true; break; } }
if (!$allowed) { header('HTTP/1.0 403 Forbidden'); die('Access denied.'); }
为什么不能只靠 .htaccess 或 Nginx 的 allow/deny
看似更“底层”的配置,实际在探针场景下容易失效:比如你用的是 Cloudflare 或阿里云 CDN,REMOTE_ADDR 就是 CDN 节点 IP,而 .htaccess 的 Allow from 只认这个,结果合法用户全被拦;又或者你部署在某些 paas 平台(如腾讯云 SCF、Vercel),根本没法改服务器配置。
-
.htaccess在 apache 下生效,但 Nginx 完全不识别它,且部分共享主机禁用AllowOverride,规则直接被忽略 - Nginx 的
allow/deny指令只作用于连接层,无法感知真实用户 IP(除非显式配置real_ip_header和set_real_ip_from) - 两者都做不到动态判断——比如你想“只允许公司出口 IP + 当前登录管理员的手机热点 IP”,就得回 PHP 层读数据库或 session
探针文件部署后最容易被忽略的三个风险点
很多人加了 IP 限制就以为万事大吉,其实还有三个隐蔽但高危的问题:
-
probe.php文件权限设为644是不够的,如果 Web 目录可写,攻击者可能上传同名文件覆盖你加了校验的版本;应设为444(只读)或移出 Web 根目录,通过符号链接或反向代理访问 - 没清理历史备份:比如
probe.php.bak、probe.php~、probe_old.php,这些文件通常没加校验,直接暴露phpinfo() - 忘记关掉错误报告:
display_errors = On会让 PHP 报错泄露路径、扩展名、甚至部分代码片段,配合探针信息更容易被利用
用 filter_var 验证 IP 时的典型陷阱
很多人直接用 filter_var($ip, FILTER_VALIDATE_IP) 判断是否“合法”,但这只能说明格式对,不代表它是可信来源——127.0.0.1 合法,0.0.0.0 也合法,255.255.255.255 还是合法。真正要防的是恶意扫描器伪造的 X-Forwarded-For 头。
立即学习“PHP免费学习笔记(深入)”;
- 永远优先信任
HTTP_X_REAL_IP(如果你的反向代理设置了它),其次才是HTTP_X_FORWARDED_FOR - 不要对
HTTP_X_FORWARDED_FOR做无条件信任,它可能被客户端随意篡改;至少要验证其中每个 IP 是否符合 IPv4/ipv6 格式,且不在私有地址段(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) -
FILTER_FLAG_NO_PRIV_RANGE和FILTER_FLAG_NO_RES_RANGE可以帮上忙,但它们只过滤私有网段和保留地址,对公网扫描 IP 无效,仍需结合白名单
探针不是一次性工具,它一旦上线,就要按生产环境敏感接口的标准去守——IP 校验只是第一道门,文件权限、日志监控、定期清理,缺一不可。