5.0.0 - 严重 - 未处理
tp5.0.9我们服务器用的CDN加速,获取的真实ip有问题,发现Request的ip方法有高级模式可以获取到真实ip,试用了一下发现有bug
public function ip($type = 0, $adv = false)
{
$type = $type ? 1 : 0;
static $ip = null;
if (null !== $ip) {
return $ip[$type];
}
if ($adv) {
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$arr = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$pos = array_search('unknown', $arr);
if (false !== $pos) {
unset($arr[$pos]);
}
$ip = trim(current($arr));
} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
$ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (isset($_SERVER['REMOTE_ADDR'])) {
$ip = $_SERVER['REMOTE_ADDR'];
}
} elseif (isset($_SERVER['REMOTE_ADDR'])) {
$ip = $_SERVER['REMOTE_ADDR'];
}
// IP地址合法验证
$long = sprintf("%u", ip2long($ip));
$ip = $long ? [$ip, $long] : ['0.0.0.0', 0];
return $ip[$type];
}主要问题是static $ip = null;
if (null !== $ip) {
return $ip[$type];
}先选择了静态变量$ip的值,在网站开始的时候有用request->ip();获取过ip,把ip信息保存到静态变量$ip里了,后续操作如果想要获取真实ip request->ip(0,1);就只能获取静态变量$ip的内容了.建议普通模式和高级模式的静态变量 $ip分离开来,这样互不干扰.
或者默认$adv = true,这样可以保证首次获取的就是最真实的ip地址
