セキュリティの観点と導入が簡易に出来ると言う事からWAFを導入する機会が増えてきている。 特に管理画面等をIPアドレスで絞った場合に起こりうる事だが、サーバー変数をREMOTE_ADDRから取っていると 111.222.333.444, 123.456.789.120 と言った形で前がアクセス元のアドレス、後ろがWAFのアドレスとして付与されている事が見受けられる。 それもWAFがゾーンでの指定の場合、固定ではなく変動するので一意にし難い。 $_SERVER変数を見てアクセスするIPアドレス「のみ」が入っている変数がどれかと言う事をアプリケーション側で確認し変える必要がある。 今回自分がハマった時には $_SERVER['HTTP_INCAP_CLIENT_IP'] と言う変数がそれに該当し、変更を行った。 シングル構成や単純な構成であれば、あまりここは気にしなくても良いが大きなシステムに