如果你使用CloudFlare缓存层服务，下面是修改后的版本

function getIP()
{
    $fields = array('HTTP_X_FORWARDED_FOR',
                    'REMOTE_ADDR',
                    'HTTP_CF_CONNECTING_IP',
                    'HTTP_X_CLUSTER_CLIENT_IP');

    foreach($fields as $f)
    {
        $tries = $_SERVER[$f];
        if (empty($tries))
            continue;
        $tries = explode(',',$tries);
        foreach($tries as $try)
        {
            $r = filter_var($try,
                            FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 |
                            FILTER_FLAG_NO_PRIV_RANGE |
                            FILTER_FLAG_NO_RES_RANGE);

            if ($r !== false)
            {
                return $try;
            }
        }
    }
    return false;
}

你已经回答了你自己的问题!：）

function getRealIpAddr() {
    if(!empty($_SERVER['HTTP_CLIENT_IP']))   //Check IP address from shared Internet
    {
        $IPaddress = $_SERVER['HTTP_CLIENT_IP'];
    }
    elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))   //To check IP address is passed from the proxy
    {
        $IPaddress = $_SERVER['HTTP_X_FORWARDED_FOR'];
    }
    else
    {
        $IPaddress = $_SERVER['REMOTE_ADDR'];
    }
    return $IPaddress;
}

源

然而，即使这样，获取用户的真实IP地址也是不可靠的。他们所需要做的就是使用一个匿名的代理服务器(一个不尊重http_x_forwarded_for, http_forwarded等的头)，你得到的只是他们的代理服务器的IP地址。

然后，您可以查看是否有一个匿名的代理服务器IP地址列表，但没有办法确保这是100%准确的，它所做的最多是让您知道这是一个代理服务器。如果有人很聪明，他们可以欺骗HTTP转发的报头。

假设我不喜欢当地的大学。我知道他们注册了什么IP地址，然后通过做坏事让他们的IP地址在你的网站上被禁止，因为我知道你遵守HTTP转发。这样的例子不胜枚举。

然后，正如您所猜测的那样，还有内部IP地址，例如我前面提到的学院网络。很多人使用10.x.x。x格式。所以你只知道它被转发到一个共享网络。

那我就不多说了，动态IP地址已经是宽带的方式了。所以。即使你获得了一个用户IP地址，预计它最多2 - 3个月就会改变。

我的回答基本上是@AlixAxel的回答的一个经过润色、完全验证和完全打包的版本:

<?php

/* Get the 'best known' client IP. */

if (!function_exists('getClientIP'))
    {
        function getClientIP()
            {
                if (isset($_SERVER["HTTP_CF_CONNECTING_IP"])) 
                    {
                        $_SERVER['REMOTE_ADDR'] = $_SERVER["HTTP_CF_CONNECTING_IP"];
                    };

                foreach (array('HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR') as $key)
                    {
                        if (array_key_exists($key, $_SERVER)) 
                            {
                                foreach (explode(',', $_SERVER[$key]) as $ip)
                                    {
                                        $ip = trim($ip);

                                        if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE) !== false)
                                            {
                                                return $ip;
                                            };
                                    };
                            };
                    };

                return false;
            };
    };

$best_known_ip = getClientIP();

if(!empty($best_known_ip))
    {
        $ip = $clients_ip = $client_ip = $client_IP = $best_known_ip;
    }
else
    {
        $ip = $clients_ip = $client_ip = $client_IP = $best_known_ip = '';
    };

?>

变化:

它简化了函数名(使用'camelCase'格式样式)。 它包括一个检查，以确保函数没有在代码的另一部分中声明。 它还考虑了“CloudFlare”的兼容性。 它将多个“ip相关”变量名称初始化为'getClientIP'函数的返回值。 它确保如果函数没有返回有效的IP地址，所有变量都被设置为空字符串，而不是null。 它只有(45)行代码。

我想知道也许你应该在爆炸的HTTP_X_FORWARDED_FOR以相反的顺序迭代，因为我的经验是，用户的IP地址结束在逗号分隔的列表的末尾，所以从头的开始，你更有可能得到一个返回的代理的IP地址，这可能仍然允许会话劫持，因为许多用户可能通过该代理。

我很惊讶没有人提到filter_input，所以这里是Alix Axel的回答浓缩成一行:

function get_ip_address(&$keys = ['HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'HTTP_CLIENT_IP', 'REMOTE_ADDR'])
{
    return empty($keys) || ($ip = filter_input(INPUT_SERVER, array_pop($keys), FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE))? $ip : get_ip_address($keys);
}