У меня есть некоторые дополнительные функции на сайте, которые сотрудники могут использовать, но не имеют права видеть клиентов.
Все сотрудники будут в серия доменов.
Я получаю IP-адрес пользователя следующим образом:
$user_ip = gethostbyname($_SERVER['REMOTE_ADDR']);
Затем я получаю массив всех IP-адресов для доменов, которые будут использовать пользователи, используя gethostbyname
Затем я проверяю, включен ли пользователь один из доменов выглядит так:
in_array($user_ip,$allowedIPS)
Итак, если пользователь находится в одном из доменов, они видят дополнительные функции для внутреннего использования. В противном случае они просто видят, что предназначено для широкой публики.
У меня вопрос, безопасно ли это? Или может кто-то потенциально подделать свой IP-адрес, чтобы выглядеть так, как будто он находится в нашем домене, и получить доступ к этим функциям?