A $_SERVER['REMOTE_ADDR'] változó milyen esetben nem ad vissza ip címet?

$_SERVER['REMOTE_ADDR'] => annak a gépnek/eszköznek az IP címe ami csatlakozik rá.

Ha pl. van egy weblap, akkor mindig a látogató publikus IP címe lesz.

Tehát, ha van egy net előfizetés ami routerrel osztva van, mindenkinek a $_SERVER['REMOTE_ADDR'] címe a router publikus IP címe lesz.

Csak olyan speciális esetben nem, ha az VPN vagy proxy -n keresztűl történik, tehát közbeiktatott szerverrel.

Mennyire hamisítható, szinte lehetetlen!

Azaz lehet hamisítani, de azt IPS szinten kell, amihez keveseknek van hozzáférése. (értsd, még a nagy szolgáltatók is csak 1-1 tartományon belül képesek rá)

A szerver maga erre az ip címre válaszol majd a kérésre, tehát ha valaki meghamisítaná (kvázi lehetetlen) akkor nem jutna hozzá a válaszhoz mert erre az ip-re menne ki.

Csak úgy hamisítható ha valami proxi van köztetek. Ettől függetlenül nem érdemes ezt egyedi azonosítóként használni, hiszen 1 ip-n ülhet több gép is (pl egyetmeken, netkávézóban stb).

Én ezt úgy oldottam meg, hogy loggolom a hibás próbálkozásokat IP címmel.

X perc -et meghatározol intervallumnak, ha ezen belül N hibás próbálkozás volt az adott időkeretben, akkor elutasítom (admin), vagy képi ellenőrzést nyomok be neki (user).