我在一个网站上添加了一些额外的功能,员工可以使用,但是不允许客户查看。
所有员工都将在一系列域上。
我的做法是像这样获取用户IP:
$user_ip = gethostbyname($_SERVER['REMOTE_ADDR']);
我使用gethostbyname
获取用户所在域名的所有IP地址数组。
然后,我检查用户是否在其中一个域名上:
in_array($user_ip,$allowedIPS)
如果用户在其中一个域上,则可以看到用于内部使用的其他功能。否则,他们只能看到面向公众的内容。
我的问题是,这是否安全?或者有人可能欺骗他们的IP地址,以似乎他们在我们的域上,并获得访问这些功能的权限吗?
$_SERVER['REMOTE_ADDR']
是用户的 IP 地址,您正在对其使用 gethostbyname,如果我没看错的话。 - Your Common Sense