来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] function getip(){if (getenv(#39;HTTP_CLIENT_IP#39;)){$ip = getenv(#39;HTTP_CLIENT_IP#39;); //可伪造}elseif (getenv(#39;HTTP_X_FORWARDED_FOR#39;)){$ip = getenv(#39;HTTP_X_FORWARDED_F......
|
function getip()
{
if (getenv('HTTP_CLIENT_IP'))
{
$ip = getenv('HTTP_CLIENT_IP'); //可伪造
}
elseif (getenv('HTTP_X_FORWARDED_FOR'))
{
$ip = getenv('HTTP_X_FORWARDED_FOR'); //可伪造
}
elseif (getenv('HTTP_X_FORWARDED'))
{
$ip = getenv('HTTP_X_FORWARDED');
}
elseif (getenv('HTTP_FORWARDED_FOR'))
{
$ip = getenv('HTTP_FORWARDED_FOR');
}
elseif (getenv('HTTP_FORWARDED'))
{
$ip = getenv('HTTP_FORWARDED');
}
else
{
$ip = $_SERVER['REMOTE_ADDR'];
}
return $ip;
}
这个函数在许多php程序可见,然而$_SERVER的很多变量可以伪装,像http开头之类的
//更新登陆IP时间
$sql = "UPDATE {$table}admin SET lastip='$_SERVER[REMOTE_ADDR]'lastlogin='". time() ."' WHERE userid='$_SESSION[adminid]'";
以上这段代码用来记录登录ip 用的是$_SERVER['REMOTE_ADDR'];
'REMOTE_ADDR'这个参数不能任意伪造
但全局打开的时候,我们可以注射
<?
foreach($_GET as $key => $value) {
$$key =$value;
}
echo $_SERVER[REMOTE_ADDR];
?>
http://gaojohn.blogchina.com/1257809.html
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
