这是我使用的方法，它验证IPv4输入:

// Get user IP address
if ( isset($_SERVER['HTTP_CLIENT_IP']) && ! empty($_SERVER['HTTP_CLIENT_IP'])) {
    $ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif ( isset($_SERVER['HTTP_X_FORWARDED_FOR']) && ! empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
    $ip = (isset($_SERVER['REMOTE_ADDR'])) ? $_SERVER['REMOTE_ADDR'] : '0.0.0.0';
}

$ip = filter_var($ip, FILTER_VALIDATE_IP);
$ip = ($ip === false) ? '0.0.0.0' : $ip;

答案是使用$_SERVER变量。例如，$_SERVER["REMOTE_ADDR"]将返回客户端的IP地址。

它应该包含在$_SERVER['REMOTE_ADDR']变量中。

在PHP中，获取公共IP的最后一个选项应该始终是$_SERVER["REMOTE_ADDR"]，因为有太多的安全原因。

下面是获取客户端已验证的IP地址的变通方法。

public static function getPublicIP() : string
    {
        $realIP = "Invalid IP Address";

        $activeHeaders = [];

        $headers = [
            "HTTP_CLIENT_IP",
            "HTTP_PRAGMA",
            "HTTP_XONNECTION",
            "HTTP_CACHE_INFO",
            "HTTP_XPROXY",
            "HTTP_PROXY",
            "HTTP_PROXY_CONNECTION",
            "HTTP_VIA",
            "HTTP_X_COMING_FROM",
            "HTTP_COMING_FROM",
            "HTTP_X_FORWARDED_FOR",
            "HTTP_X_FORWARDED",
            "HTTP_X_CLUSTER_CLIENT_IP",
            "HTTP_FORWARDED_FOR",
            "HTTP_FORWARDED",
            "ZHTTP_CACHE_CONTROL",
            "REMOTE_ADDR" #this should be the last option
        ];

        #Find active headers
        foreach ($headers as $key)
        {
            if (array_key_exists($key, $_SERVER))
            {
                $activeHeaders[$key] = $_SERVER[$key];
            }
        }

         #Reemove remote address since we got more options to choose from
        if(count($activeHeaders) > 1)
        {
            unset($activeHeaders["REMOTE_ADDR"]);
        }

        #Pick a random item now that we have a secure way.
        $realIP = $activeHeaders[array_rand($activeHeaders)];

        #Validate the public IP
        if (filter_var($realIP, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4))
        {
            return $realIP;
        }

        return $realIP;
    }

正如您在这里看到的，$_SERVER["REMOTE_ADDR"]是IP的最后一个选项。在收到IP后，我们也验证IP，以确保质量和安全。

$_SERVER['REMOTE_ADDR']可能不包含真实的客户端IP地址，例如，它会为通过代理连接的客户端提供一个代理地址。这可能 不过，这是你真正想要的，取决于你如何处理ip。某人的私有RFC1918地址可能对你没有任何好处，如果你试图查看你的流量来自哪里，或者记住用户最后从哪个IP连接，代理或NAT网关的公共IP可能更适合存储。

有几个HTTP报头，如X-Forwarded-For，可以由各种代理设置，也可以不设置。问题是这些只是HTTP头，任何人都可以设置。他们的内容没有保证。$_SERVER['REMOTE_ADDR']是web服务器接收到连接的实际物理IP地址，响应将被发送到该地址。其他任何信息都是随意和自愿的。只有一种情况下您可以信任此信息:您正在控制设置此报头的代理。意思只有当你知道100%的头是在哪里和如何设置，你应该注意它的任何重要的。

话虽如此，下面是一些示例代码:

if (!empty($_SERVER['HTTP_CLIENT_IP'])) {
    $ip = $_SERVER['HTTP_CLIENT_IP'];
} elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
    $ip = $_SERVER['REMOTE_ADDR'];
}

编者注:使用上述代码具有安全隐患。客户端可以设置所有的HTTP报头信息(例如。$_SERVER['HTTP_…])到它想要的任意值。因此，使用$_SERVER['REMOTE_ADDR']更可靠，因为这不能由用户设置。

来自:http://roshanbh.com.np/2007/12/getting-real-ip-address-in-php.html

无论您做什么，请确保不要信任从客户端发送的数据。$_SERVER['REMOTE_ADDR']包含连接方的真实IP地址。这是你能找到的最可靠的值。

然而，它们可能在代理服务器的后面，在这种情况下，代理可能已经设置了$_SERVER['HTTP_X_FORWARDED_FOR']，但这个值很容易被欺骗。例如，它可以由没有代理的人设置，或者IP可以是来自代理后面LAN的内部IP。

这意味着如果您要保存$_SERVER['HTTP_X_FORWARDED_FOR']，请确保您也保存$_SERVER['REMOTE_ADDR']值。例如，将两个值保存在数据库的不同字段中。

如果要将IP保存为字符串到数据库，请确保至少有45个字符的空间。IPv6将继续存在，这些地址比旧的IPv4地址更大。

(请注意，IPv6通常最多使用39个字符，但IPv4地址也有一个特殊的IPv6符号，其完整形式最多可达45个字符。所以如果你知道你在做什么，你可以使用39个字符，但如果你只是想设置并忘记它，请使用45)。