PHP本地环境无法原生限制IP段,必须由Web服务器(Apache/Nginx)或系统防火墙实现;Apache用Require ip、Nginx用allow/deny、PHP内置服务器需依赖系统防火墙,应用层校验无效且存在绕过风险。
PHP 本地环境本身不处理网络访问控制,限制 IP 段 必须由其运行所依赖的 Web 服务器(如 Apache、Nginx)或 PHP 内置服务器的外围机制实现。直接在 php.ini 或 PHP 脚本里“限制 IP”只能做应用层校验,无法阻止请求抵达 PHP,也不防扫描和恶意试探。
.htaccess 限制指定 IP 段适用于 MAMP、XAMPP 等集成环境(需开启 mod_rewrite 和 mod_access_compat)。注意:Apache 2.4+ 推荐用 Require 语法,旧版用 Order/Allow/Deny 已弃用。
192.168.1.0/24)和本机(127.0.0.1)访问:Require ip 127.0.0.1 Requireip 192.168.1.0/24
Require not ip:Require all granted Require not ip 203.0.113.0/24
.htaccess 生效:对应目录的 httpd.conf 中该目录配置需含 AllowOverride All,否则规则被忽略server 块中限制 IP 段Nginx 不支持目录级配置文件,必须修改站点配置(如 nginx.conf 或 sites-enabled/default)。PHP 本地环境如 Laragon、XAMPP for Nginx 需手动编辑。
location ~ \.php$ { ... } 外层或 server 块顶部添加:allow 127.0.0.1; allow 192.168.1.0/24; deny all;
allow 和 deny 按出现顺序匹配,第一条匹配即生效;deny all 必须放在最后allow ::1;,否则本地 IPv6 访问会失败php -S)无法原生限 IP,必须靠系统级防护php -S localhost:8000 router.php 启动的服务默认只监听 localhost(即仅限 127.0.0.1),但若误写成 0.0.0.0:8000,则全网可达——此时不能靠 PHP 自身限制。
8000 仅对 127.0.0.1 开放pfctl 或 iptables 临时封禁非本地访问(示例为 Linux):sudo iptables -A INPUT -p tcp --dport 8000 ! -s 127.0.0.1 -j DROP
$_SERVER['REMOTE_ADDR'] 判断后 exit —— 这属于事后拦截,请求已进 PHP,仍可能触发日志、DB 查询等副作用很多“限 IP”配置看似生效,实则形同虚设,关键点在于信任边界错位:
$_SERVER['REMOTE_ADDR'] 是代理 IP,不是真实客户端 IP;allow/deny 规则也只看连接来源(即代理地址),而非 X-Forwarded-For
127.0.0.1 允许本地访问,但未加 ::1,导致 Safari、某些 CLI 工具走 IPv6 时 40310.0.2.2),需明确加入AllowOverride 或未启用 mod_access_compat,导致 .htaccess 完全不解析真正安全的 IP 限制,永远发生在 TCP 连接建立阶段之前,而不是等请求进入 PHP 才做判断。别让“PHP 限 IP”变成一种心理安慰。