La confiabilidad de $_SERVER['REMOTE_ADDR']

La $_SERVER['REMOTE_ADDR'] es una variable vital en el desarrollo web, proporcionando la dirección IP del cliente que inicia una solicitud HTTP. Sin embargo, existe la idea errónea de que este valor se puede falsificar fácilmente, lo que genera dudas sobre su confiabilidad.

¿Se puede confiar en $_SERVER['REMOTE_ADDR']?

Sí, generalmente es seguro confiar en el valor $_SERVER['REMOTE_ADDR']. Representa la dirección IP de la conexión TCP del cliente y no se puede modificar alterando los encabezados HTTP. Esto se debe a que la dirección IP es una propiedad de la conexión TCP/IP y no se transmite como parte de los encabezados HTTP.

Posibles errores

Sin embargo, existen una excepción importante a esta regla. Si su servidor está detrás de un proxy inverso, REMOTE_ADDR representará la dirección IP del servidor proxy, no la del cliente. En este caso, la dirección IP del cliente se incluirá en un encabezado HTTP, normalmente X-Forwarded-For.

Por ejemplo, si su servidor está detrás de un proxy inverso con la dirección IP 111.111.111.111, las solicitudes de Su servidor parecerá originarse en esa dirección IP. Para obtener la dirección IP del cliente en este escenario, deberá examinar el encabezado X-Fordered-For.

Sin embargo, en los escenarios más comunes en los que recibe directamente solicitudes HTTP de clientes sin un proxy inverso, confiar $_SERVER['REMOTE_ADDR'] es un método confiable para determinar la dirección IP del cliente.