我在员工可以使用的网站上有一些额外的功能,但客户不允许看到.
员工都将会在一系列领域.
我所做的是让用户ip像这样:
$user_ip = gethostbyname($_SERVER['REMOTE_ADDR']);
然后我得到一系列用户将使用gethostbyname的域的所有ips
然后我检查用户是否在其中一个域,如下所示:
in_array($user_ip,$allowedIPS)
因此,如果用户在其中一个域上,他们会看到内部使用的附加功能.否则,他们只是看到什么是为公众的意思.
我的问题是,这是安全吗?或者有人可能会欺骗他们的IP,就像他们在我们的域名上,并获得访问这些功能?
由于
Three Way Handshake,因此无法通过互联网打开TCP连接.但是,也可能使用
CSRF访问此功能.
PHP从Apache的TCP套接字直接提取$_SERVER [‘REMOTE_ADDR’],因为它不受攻击者的影响.是的,我看过这个代码.