Comment puis-je détecter si l'utilisateur est sur localhost en PHP?

En d'autres termes, comment puis-je savoir si la personne à l'aide de mon application web sur le serveur, il se trouve sur? Si je me souviens bien, PHPMyAdmin n'quelque chose comme ceci pour des raisons de sécurité.

InformationsquelleAutor Richie Marquez | 2010-01-12

157

Vous pouvez également utiliser $_SERVER['REMOTE_ADDR'] pour l'adresse IP du client qui demande est donnée par le serveur web.
```
$whitelist = array(
    '127.0.0.1',
    '::1'
);

if(!in_array($_SERVER['REMOTE_ADDR'], $whitelist)){
    //not valid
}
```
- Ce qui ferait de ce fait plus facile de casser que de l'usurpation de la propriété intellectuelle. Vous devriez vraiment changer.
- Ce n'est pas de travail pour moi. $_SERVER['HTTP_HOST'] retourne la partie textuelle de mon domaine (par exemple "par exemple" si le domaine ont été http://www.example.com).
- peut-être votre configuration de serveur. vérifiez qu'il.
- vous pouvez envoyer par exemple Host: 127.0.0.1 et il serait peuplée de HTTP_HOST, donc c'est pas une méthode fiable à tous.
- Ouais, c'est de mauvais conseils, et, dans sa forme actuelle et doit être modifié ou downvoted.
- Édité le post juste que. Les gars, vous pouvez modifier directement cette réponse sans attente pour moi.
- N'oubliez pas d'IPv6 : $whitelist = array('127.0.0.1', '::1');
- ajouté l'adresse IPv6!
- Ne serait-il pas préférable d'utiliser filter_input(INPUT_SERVER, 'REMOTE_ADDR') au lieu de $_SERVER['REMOTE_ADDR'].
InformationsquelleAutor mauris
21

Comme un complément, comme une fonction...
```
function isLocalhost($whitelist = ['127.0.0.1', '::1']) {
    return in_array($_SERVER['REMOTE_ADDR'], $whitelist);
}
```
- En tant que bonne pratique, je recommande l'ajout de "else return false;", de sorte que la fonction retourne toujours une valeur booléenne. Ou sinon, il suffit de retirer le "si" complètement et, au lieu de "retour in_array( $_SERVER['REMOTE_ADDR'], $liste blanche);"
InformationsquelleAutor Jens Törnell
14

Plus récents, les utilisateurs d'OS (Win 7, 8) peut également s'avérer nécessaire d'inclure une IPV6-format de l'adresse distante dans leur liste blanche de tableau:
```
$whitelist = array('127.0.0.1', "::1");

if(!in_array($_SERVER['REMOTE_ADDR'], $whitelist)){
    //not valid
}
```
InformationsquelleAutor reekogi
14

$_SERVER["REMOTE_ADDR"] devrait vous indiquer l'IP de l'utilisateur. C'est spoofable, si.

Vérifier ce bounty question pour une description détaillée de discussion.

Je pense que ce dont vous vous souvenez avec PHPMyAdmin est quelque chose de différent: Beaucoup de Serveurs MySQL sont configurés de sorte qu'ils ne peuvent être accessibles à partir de localhost pour des raisons de sécurité.
- Il est intéressant de noter que certains serveurs MySQL sont configuré de la sorte en ne liant pas à une interface publique. De même, si vous souhaitez restreindre d'une application PHP de la même manière, vous devriez envisager de servir par l'intermédiaire d'une instance d'apache lié uniquement à une interface interne.
InformationsquelleAutor Pekka supports GoFundMonica
6

Il ne semble pas que vous devez utiliser $_SERVER['HTTP_HOST'], parce que c'est la valeur d'en-tête http, facilement truquées.

Vous pouvez utiliser $_SERVER["REMOTE_ADDR"] trop, c'est le plus sûr de la valeur, mais il est également possible de faux. Cette remote_addr est l'adresse où Apache renvoie le résultat à.
- REMOTE_ADDR est possible de faux, cependant, si vous souhaitez faux comme 127.0.0.1 ou ::1, qui nécessite compromettre la machine, à qui une copie du REMOTE_ADDR est le cadet de vos soucis. Réponse pertinente - stackoverflow.com/a/5092951/3774582
InformationsquelleAutor nicola
2

Je suis désolé, mais toutes ces réponses semblent terrible pour moi. Je suggère de reformuler la question parce que, en un sens, toutes les machines sont "localhost".

La question devrait être: Comment puis-je exécuter des chemins de code différents en fonction de l'ordinateur sur lequel il est exécuté sur.

À mon avis, le plus simple est de créer un fichier appelé DEVMACHINE ou ce que vous voulez vraiment et puis il suffit de vérifier

file_exists('DEVMACHINE')

N'oubliez pas de les exclure ce fichier lors du téléchargement vers le live de l'environnement d'hébergement!

Cette solution n'est pas en fonction de la configuration du réseau, il ne peut pas être falsifié et facilite le passage entre l'exécution de vivre "-code" et "dev-code".

InformationsquelleAutor Daniklad

Si vous voulez avoir un blanche /allowlist qui prend en charge adresses ip statique et dynamique noms.

Par exemple:

$whitelist = array("localhost", "127.0.0.1", "devel-pc.ds.com", "liveserver.com");
if (!isIPWhitelisted($whitelist)) die();

De cette façon, vous pouvez définir une liste de noms/IPs qui sera en mesure (pour sûr) pour être détectée. Dynamique des noms d'ajouter plus de flexibilité pour l'accès à partir de différents points.

Vous avez deux options ici, vous pouvez définir un nom dans votre fichier hosts local ou vous pouvez simplement utiliser l'une dynamique, fournisseur de nom de qui pourrait être trouvé n'importe où.

Cette fonction CACHES résultats parce que gethostbyname est un très lente de la fonction.

À cette fin, j'ai implémenté cette fonction:

function isIPWhitelisted($whitelist = false)
{
    if ( isset($_SESSION) && isset($_SESSION['isipallowed']) )
        { return $_SESSION['isipallowed'];  }

    //This is the whitelist
    $ipchecklist = array("localhost", "127.0.0.1", "::1");
    if ($whitelist) $ipchecklist = $whitelist;

    $iplist = false;
    $isipallowed = false;

    $filename = "resolved-ip-list.txt";
    $filename = substr(md5($filename), 0, 8)."_".$filename; //Just a spoon of security or just remove this line

    if (file_exists($filename))
    {
        //If cache file has less than 1 day old use it
        if (time() - filemtime($filename) <= 60*60*24*1)
            $iplist = explode(";", file_get_contents($filename)); //Read cached resolved ips
    }

    //If file was not loaded or found -> generate ip list
    if (!$iplist)
    {
        $iplist = array(); $c=0;
        foreach ( $ipchecklist as $k => $iptoresolve )
        {
            //gethostbyname: It's a VERY SLOW function. We really need to cache the resolved ip list
            $ip = gethostbyname($iptoresolve);
            if ($ip != "") $iplist[$c] = $ip;
            $c++;
        }

        file_put_contents($filename, implode(";", $iplist));
    }

    if (in_array($_SERVER['REMOTE_ADDR'], $iplist)) //Check if the client ip is allowed
        $isipallowed = true;

    if (isset($_SESSION)) $_SESSION['isipallowed'] = $isipallowed;

    return $isipallowed;
}

Pour une meilleure fiabilité vous pouvez remplacer le $_SERVER['REMOTE_ADDR'] pour la get_ip_address() que @Pekka a mentionné dans son post comme "cette abondance question"

Je ne sais pas pourquoi, quelqu'un a créé un score négatif à ma réponse alors qu'il offre clairement dynamique de résolution de nom et d'autres pas. La résolution DNS est lent, c'est pourquoi la mise en cache de résolution est nécessaire.

InformationsquelleAutor Heroselohim

0

Comment comparer $_SERVER['SERVER_ADDR'] === $_SERVER['REMOTE_ADDR'] pour déterminer si le client est sur la même machine que le serveur?
- $_SERVER['SERVER_ADDR'] n'est pas toujours fiable de retourner l'adresse du serveur par exemple si vous utilisez des équilibreurs de charge, il renvoie l'adresse IP de l'équilibreur de charge, je crois.
InformationsquelleAutor Eugen Wesseloh

-2

J'ai trouvé une réponse facile.

Car tous les lecteurs locaux C: ou D: ou F: ... etc.

Simplement détecter si le deuxième personnage est un :

if ( substr_compare(getcwd(),":",1,1) == 0)
{
echo '<script type="text/javascript">alert(" The working dir is at the local computer ")</script>';
    $client_or_server = 'client';
}
else
{
echo '<script type="text/javascript">alert(" The working dir is at the server ")</script>';
    $client_or_server = 'server';
}

InformationsquelleAutor Scoobeedo Cool

Vous devez vous connecter pour publier un commentaire.