Discussion :

[scamphp]

Bonjour

Je voulais Identifier les IP sur mon site

en utilisant : $_SERVER['HTTP_X_FORWARDED_FOR'] ; $_SERVER['HTTP_CLIENT_IP'] et $_SERVER['REMOTE_ADDR'].

Mais si j'ai bien compris les variable $_SERVER ne sont pas fiables...

Cela veut dire que quelqu'un pourrait modifier mes variables serveur ???

Même si on utilise le HTTPS ???

Quelqu’un pourrait se connecter en faisant croire qu'il utilise mon IP ???

J'attends vos confirmations... c'est fou l'informatique

[Celira]

Bon déjà je ne trouve pas $_SERVER['HTTP_X_FORWARDED_FOR'] et $_SERVER['HTTP_CLIENT_IP'] dans la doc officielle, mais je vais supposer que la remarque sur la fiabilité est la même que pour $_SERVER['HTTP_REFERER'] : c'est une information fournie par le poste client (via la requête HTTP) et par principe, on ne fait pas confiance à ce qui vient du client. Tu n'as aucune maîtrise sur ce qui se trouve dans la requête, ni aucune garantie que l'information est renseignée et correctement renseignée.

[scamphp]

et $_SERVER['REMOTE_ADDR'] lui il est plus sûr ? un peu sûr ou pas sûr

[darkstar123456]

Bonjour,

Les variables $_SERVER['HTTP_X_FORWARDED_FOR'] et $_SERVER['HTTP_CLIENT_IP'] servent à essayer de récupérer l'adresse IP d'un utilisateur même s'il est derrière un proxy.

Comme l'a dit @Celira, tu ne peux pas te fier à 100% aux variables $_SERVER, malheureusement, tu n'as pas le choix si tu souhaite récupérer l'adresse l'IP ^^
Personnellement, quand je sauvegarde une adresse IP en DB (pour un concours par exemple), je sauvegarde également toujours le USER_AGENT ($_SERVER['HTTP_USER_AGENT']).
Car même si, pour le commun des mortels, c'est compliqué de changer les variables $_SERVER, changer son IP est à la portée du premier venu mais peu de gens connaissent le USER_AGENT.
Avoir une paire de données plutôt qu'un seule permet d'identifier un peu mieux les gens (on a détecté énormément de tricheurs dans des concours grâce à cette technique, car ils pensaient que juste changer l'IP était suffisant)

[scamphp]

Si j'ai bien compris tout ce qui est $_SERVER['HTTP_XXX vient des entêtes HTTP, modifiable par le client

Mais les autres variables $_SERVER['REMOTE_ADDR'] peuvent -elle aussi être modifié par le client ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$_SERVER['REMOTE_ADDR']
 
$_SERVER["REQUEST_URI"]
 
$_SERVER['SERVER_NAME']

C'est quand même fiable ou c'est aussi modifiable

[Celira]

Le principe de base : Never Trust User Input (ne jamais faire confiance à l'utilisateur) Il faut savoir que ça inclut en fait tout ce qui est transmis dans la requête HTTP, que ça nécessite théoriquement une intervention humaine (formulaire...) ou non (entêtes HTTP).
L'IP du client provenant du client, ça rentre dans la catégorie des données extérieures, donc n'est pas garanti.

[grunk]

Toutes les variables $_SERVER qui commence par HTTP_ peuvent être modifiée via une entête HTTP. Ce qui veux dire que elle ne sont pas des sources fiables de données.
On peut les utiliser pour essayer d'avoir une infos , mais il ne faut pas qu'une sécurité quelconque repose sur cette info.

Les valeurs REMOTE_ sont partiellement sûre dans le sens où elle sont le reflet du handshake TCP/IP , donc non altérable par le client facilement.

REMOTE_ADDR aura souvent la valeur du proxy et non l'adresse IP réelle. ET donc HTTP_X_FORWARDED_FOR pourrait contenir la véritable adresse IP du client mais c'est pas garantie. Beaucoup de proxy l'anonymise par exemple.

Dans tous les cas il faut appliquer les sécurité d'usage sur ces données quand on veux les utiliser.