另外，阿里旗下WW现在御用的代理平台HL系统因为HTTP_X_FORWARD_FOR过滤不严，精心构造请求可注入。。。（现在新版已经修复）

我想了个方案，可以配置nginx的时候，添加proxy_set_header X-Forward-For $remote_addr 配置。然后$_SERVER["HTTP_X_FORWARD_FOR"]获取用户的真实IP，然后再程序里面进行IP的限制。

nginx是 【你】搭建的，还是要 【被禁止的用户】 搭建的？

最好的办法是增加私有的HTTP头，nginx转发时增加私有http头X-GAGAGA（嘎嘎嘎，猜不到吧），使用$_SERVER["HTTP_X_GAGAGA"]获取，这样攻击这即使祥伪造，也不知道需要伪造啥。

如果是 【你】搭建的nginx：
虽然可以通过$_SERVER["HTTP_X_FORWARD_FOR"]获取到用户的IP，但是有可能是伪造的。

关于伪造，如果 你用的 Linux/Unix/OSX，自带的curl就可以实现：

如果不过滤，恰巧有直接通过IP来判断是否再黑名单或者后台有记录IP操作日志的功能：

HTTP_X_FORWARD_FOR是可以伪造的，但是 REMOTE_ADDR 是改变不了的。

如果是 【被禁止的用户】 的搭建的：
你可以通过$_SERVER["REMOTE_ADDR"]可以获取到nginx服务器的IP，直接封。