jat001 avatar

关于 HTTP_X_FORWARDED_FOR

🕥 by jat001

HTTP_X_FORWARDED_FOR 是可以伪造的,不对其进行任何处理的话,如果其中含有代码,岂不是会执行?

💘 相关文章

评论

共9条关于"关于 HTTP_X_FORWARDED_FOR"的评论

ego008 avatar
#1 ego008 回复

目前是这样简单过滤 $onlineip = addslashes($onlineip);

是不是该用一个正则来严格识别ip?

jat001 avatar
#2 jat001 回复

@ego008 (\d{1,3}.){3}\d{1,3} 我写的 ipv4 的,ipv6 不太好写

ego008 avatar
#3 ego008 回复

@jat001 v6太复杂了,要不考虑只放字符集[a-zA-Z0-9.:,]

jat001 avatar
#4 jat001 回复

@ego008 我还是觉得复杂点好,安全,目前 ipv6 用户还不多,不如先不考虑

jat001 avatar
#6 jat001 回复

@ego008 我知道,正常情况下是第一个,另外在 BAE 上只有 HTTP_X_FORWARDED_FOR 能获得访客的真实 ip,不知道 SAE 上是什么情况?

ego008 avatar
#7 ego008 回复

@jat001 还是暂时取消通过HTTP_X_FORWARDED_FOR获取用户ip,目前程序在数据库还没用到用户ip,除了缓存版,以ip为key 来记录一个ip 的上次注册时间,SAE 版同步微博是需要附送ip。

若有代码,代码在获取时就被实行,对变量的过滤、识别只为下文利用。

jat001 avatar
#8 jat001 回复

@ego008 我是指这样写容易被 SQL 注入,没有用到的话就无所谓了,不过增加个记录用户注册、最后登录 ip 的功能倒不错。

ego008 avatar
#9 ego008 回复

@jat001 SAE onlineip: 74.63.xxx.xxx, 74.63.xxx.xxx HTTP_CLIENT_IP: HTTP_X_FORWARDED_FOR: 74.63.xxx.xxx, 74.63.xxx.xxx REMOTE_ADDR: 74.63.xxx.xxx

写一条评论

Based on Golang + fastHTTP + sdb | go1.16.5 Processed in 0ms