Zenn
🚀

PHPのIPアドレスの扱い方

2024/10/07に公開
PHP
IP
tech

はじめに

このページではPHPでのIPアドレスの扱い方について記述します。

PHPでIPアドレスの扱い方

PHPでは、サーバーやクライアントのIPアドレスを扱うために主に使われる手法を紹介します。

1. $_SERVER['REMOTE_ADDR'] を使用

$_SERVER['REMOTE_ADDR'] は、クライアントのIPアドレスを取得するための最も基本的な方法です。クライアントがプロキシサーバーを使用していない場合、信頼できるIPアドレスが取得できます。

$ip_address = $_SERVER['REMOTE_ADDR'];
echo $ip_address;

このコードは、クライアントのIPアドレスを取得し、表示します。ただし、クライアントがプロキシやVPNを使用している場合、この値は必ずしも正確ではない可能性があります。

注意点

この方法はシンプルで利用しやすいですが、プロキシ環境下ではクライアントの実際のIPアドレスを取得できない点が問題となります。そのため、次のHTTP_X_FORWARDED_FOR を使用する方法を検討する必要があります。

2. $_SERVER['HTTP_X_FORWARDED_FOR'] を使用

プロキシサーバーを経由している場合、$_SERVER['HTTP_X_FORWARDED_FOR'] にクライアントの実際のIPアドレスが含まれていることがあります。この値を使用することで、プロキシ越しでもクライアントのIPを取得できる可能性があります。

if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip_address = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
    $ip_address = $_SERVER['REMOTE_ADDR'];
}
echo $ip_address;

注意点

HTTP_X_FORWARDED_FOR は信頼できないヘッダーであり、ユーザーによって任意に設定される可能性があるため、セキュリティに注意が必要です。例えば、悪意のあるユーザーが偽のIPアドレスを設定することができます。

3. IPv4とIPv6の違いに対する対応

IPアドレスにはIPv4とIPv6の形式が存在します。$_SERVER['REMOTE_ADDR'] などで取得されるIPアドレスがどちらの形式かをチェックし、必要に応じて処理を分けることができます。

$ip_address = $_SERVER['REMOTE_ADDR'];

if (filter_var($ip_address, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4)) {
    echo 'IPv4アドレスです: ' . $ip_address;
} elseif (filter_var($ip_address, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6)) {
    echo 'IPv6アドレスです: ' . $ip_address;
} else {
    echo '無効なIPアドレスです';
}

filter_var 関数は、IPアドレスがIPv4かIPv6か、もしくは無効な値であるかを簡単に検証する方法です。公式ドキュメントはPHP Manual - filter_varで確認できます。

4. IPアドレスの検証とフォーマット

IPアドレスを安全に扱うためには、まず正しい形式であるかどうかを検証する必要があります。PHPでは、filter_var 関数を使用してIPアドレスの検証が可能です。

$ip_address = '192.168.1.1';
if (filter_var($ip_address, FILTER_VALIDATE_IP)) {
    echo '有効なIPアドレスです: ' . $ip_address;
} else {
    echo '無効なIPアドレスです';
}

特定の形式の検証

FILTER_FLAG_IPV4FILTER_FLAG_IPV6 を使用して、IPv4やIPv6の形式に限定した検証を行うことも可能です。

$ip_address = '::1'; // IPv6のループバックアドレス

if (filter_var($ip_address, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6)) {
    echo 'IPv6アドレスです: ' . $ip_address;
} else {
    echo 'IPv6ではありません';
}

無効なIPアドレスの例

例えば、999.999.999.999 のような無効なIPアドレスは、filter_var を使うと弾くことができます。無効なデータを扱うリスクを減らすために、このような検証は重要です。

5. クライアントのIPアドレスを信頼できる方法で取得する

信頼できるIPアドレスを取得するためには、$_SERVER['REMOTE_ADDR']$_SERVER['HTTP_X_FORWARDED_FOR'] を組み合わせて、信頼できるサーバー設定と一緒に使うことが推奨されます。

if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $ip_list = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
    $ip_address = trim($ip_list[0]);
} else {
    $ip_address = $_SERVER['REMOTE_ADDR'];
}

このコードでは、HTTP_X_FORWARDED_FOR に複数のIPアドレスが含まれる場合、その最初のIPアドレス(クライアントのIPとみなされる)が選択されます。

IPアドレス制限の実装例

IPアドレス制限をかけたアプリケーションでは、特定のIPアドレスやIPアドレスの範囲からのアクセスを許可することで、セキュリティを強化することが可能です。ここでは、IPアドレス制限を実装した具体例を紹介します。

6. ホワイトリスト方式でのIPアドレス制限

ホワイトリスト方式では、許可されたIPアドレスのみにアクセスを許可します。以下は、ホワイトリスト方式を用いて特定のIPアドレスからのみアクセスを許可する例です。

// 許可するIPアドレスのリスト
$allowed_ips = ['192.168.1.1', '203.0.113.5', '2001:db8::1']; // IPv4, IPv6の両方を許可

// クライアントのIPアドレスを取得
$client_ip = $_SERVER['REMOTE_ADDR'];

// IPアドレスがホワイトリストに含まれているか確認
if (!in_array($client_ip, $allowed_ips)) {
    // 許可されていない場合はアクセス拒否
    http_response_code(403);
    echo "アクセスが許可されていません。";
    exit;
}

// アクセスが許可された場合の処理
echo "アクセスが許可されました。";

このコードでは、$allowed_ips に許可するIPアドレスをリスト化し、クライアントのIPアドレスがそのリストに含まれているかどうかをチェックしています。許可されていない場合、HTTPステータスコード403(Forbidden)を返し、アクセスを拒否します。

注意点

この方法では、IPアドレスの範囲を制御することができないため、個別にIPを指定する必要があります。範囲指定が必要な場合は、CIDR表記などを使った実装が必要です。

7. CIDRによるIPアドレス範囲制限

複数のIPアドレスを管理する場合、CIDR(Classless Inter-Domain Routing)表記を使って範囲指定を行うことが可能です。例えば、192.168.1.0/24 は、192.168.1.0 から 192.168.1.255 までの範囲を表します。

以下は、CIDRを使ったIPアドレス範囲制限の実装例です。

// クライアントのIPアドレスを取得
$client_ip = $_SERVER['REMOTE_ADDR'];

// CIDR表記によるIPアドレスの範囲
$allowed_cidr = '192.168.1.0/24';

// IPアドレスが許可された範囲内か確認する関数
function cidr_match($ip, $cidr) {
    list($subnet, $mask) = explode('/', $cidr);
    return (ip2long($ip) & ~((1 << (32 - $mask)) - 1)) == ip2long($subnet);
}

// IPアドレスが許可範囲に含まれていない場合、アクセスを拒否
if (!cidr_match($client_ip, $allowed_cidr)) {
    http_response_code(403);
    echo "アクセスが許可されていません。";
    exit;
}

// 許可された場合の処理
echo "アクセスが許可されました。";

この例では、cidr_match 関数を使って、クライアントのIPアドレスが指定されたCIDR範囲内に含まれているかどうかを確認しています。範囲外のIPアドレスの場合はアクセスを拒否します。

IPv6対応

IPv6の場合も同様のアプローチでCIDR表記を用いた制限が可能ですが、PHPの標準関数だけでは対応が難しいため、外部ライブラリを使用することが一般的です。

8. 動的IPアドレス制限の実装例

企業のVPNや動的IPを利用している場合、特定のIPアドレスに固定できないケースがあります。このような場合、認証トークンなどと併用し、セッションごとにIPアドレスをチェックすることで、セキュリティを保ちながら動的なIPアドレスにも対応できます。

session_start();

// クライアントのIPアドレスを取得
$client_ip = $_SERVER['REMOTE_ADDR'];

// セッション開始時に記録されたIPアドレスが存在するか確認
if (!isset($_SESSION['initial_ip'])) {
    $_SESSION['initial_ip'] = $client_ip; // 最初のアクセス時にIPアドレスを保存
}

// セッション中にIPアドレスが変更されていないか確認
if ($_SESSION['initial_ip'] !== $client_ip) {
    http_response_code(403);
    echo "IPアドレスの変更が検出されました。";
    exit;
}

// 正常なアクセス
echo "セッション内のIPアドレスは変更されていません。";

この例では、セッション開始時のIPアドレスを保存し、以降のリクエストでそのIPアドレスが変更されていないかをチェックします。動的IPでも、セッション中に同じIPアドレスを維持することが求められるケースで有効です。

まとめ

IPアドレス制限は、アプリケーションのセキュリティを強化するための重要な手法です。ホワイトリスト、CIDR範囲の制限、そして動的IPに対応する方法など、様々な実装方法が考えられます。それぞれのアプローチに応じて、適切なセキュリティ対策を取ることが重要です。

Discussion