应校验CDN可信IP段后再取X-Forwarded-For末位非私有IP：先确认$_SERVER['REMOTE_ADDR']属于Cloudflare/阿里云等官方IP白名单，再解析$_SERVER['HTTP_X_FORWARDED_FOR']中最后一个合法公网IP。

PHP 获取真实客户端 IP 时被 CDN 覆盖怎么办

直接读 $_SERVER['REMOTE_ADDR'] 拿到的是 CDN 节点的 IP，不是用户真实出口 IP。必须依赖 CDN 透传的 HTTP 头（如 X-Forwarded-For、X-Real-IP），但不能无条件信任——这些头可被伪造，必须结合可信代理白名单做校验。

只信任已知 CDN 的 X-Forwarded-For 最后一节

多数主流 CDN（Cloudflare、阿里云 CDN、腾讯云 CDN、又拍云）会在请求头中添加 X-Forwarded-For，格式为 "a.b.c.d, e.f.g.h, ..."，其中最右边是发起请求的原始客户端 IP（前提是 CDN 配置了透传且未被中间代理污染）。但关键前提是：你得确认该请求确实来自

• 先检查 $_SERVER['HTTP_X_FORWARDED_FOR'] 是否存在且非空
• 再验证 $_SERVER['REMOTE_ADDR'] 是否在你配置的 CDN IP 段内（例如 Cloudflare 官方公布的 IP 列表）
• 若校验通过，取 X-Forwarded-For 中以英文逗号分隔的最后一个非私有 IP（跳过 127.0.0.1、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、100.64.0.0/10 等）

不同 CDN 对应的可信头和校验方式差异

不是所有 CDN 都用 X-Forwarded-For；部分会改用自定义头，且源站 IP 白名单范围也不同：

• Cloudflare：优先看 $_SERVER['HTTP_CF_CONNECTING_IP']（不可伪造），同时校验 $_SERVER['REMOTE_ADDR'] 是否在 Cloudflare IPv4 列表 中
• 阿里云 CDN：使用 $_SERVER['HTTP_X_REAL_IP']，需校验 REMOTE_ADDR 是否属于阿里云 CDN 回源段（如 100.64.0.0/10 不代表全部，要查官方最新文档）
• 腾讯云 CDN：支持 X-Real-IP 或 X-Forwarded-For，但必须开启「透传客户端真实 IP」开关，且只对白名单回源 IP 生效
• 自建 Nginx 反代：需显式配置 proxy_set_header X-Real-IP $remote_addr;，并在 PHP 中校验 REMOTE_ADDR 是否为你自己的反代服务器 IP

别忘了禁用不安全的 fallback 逻辑

很多网上抄来的代码会写成「如果 X-Forwarded-For 不存在，就用 REMOTE_ADDR」，这在没 CDN 时看似合理，但一旦加了 CDN 却没配好透传，就会退化成暴露 CDN 节点 IP；更糟的是，有些代码还会拼接整个 X-Forwarded-For 字符串做判断，导致被伪造头注入恶意 IP。

• 永远不要直接返回未经校验的 HTTP_X_FORWARDED_FOR
• 禁止 fallback 到 REMOTE_ADDR 作为“真实用户 IP”——它只是网络链路最后一跳的地址
• 如果校验失败（比如 REMOTE_ADDR 不在任何可信 CDN 段内），应视为「无法获取真实 IP」，返回 null 或记录告警，而不是妥协取值

真实场景里，IP 地址的可信边界不在 PHP 层，而在网络层：你得知道谁在帮你转发、谁被允许转发、以及哪些头是它们真正签名或强约束的。少一层校验，就多一分被伪造的风险。