attilla Дело в том, что заголовок X-Forwarded-For формируется прокси-сервером (или прокси-серверами), который может оказаться между компьютером пользователя и твоим веб-сервером. Если этих прокси-серверов в цепочке много, то этот заголовок будет содержать не один адрес, а несколько.
RomikChef имел в виду, что на этот заголовок полагаться нельзя - его можно легко подделать.
Ничего не мешает просто отправить веб-серверу в запросе заголовок X-Forwarded-For: 127.0.0.1 и повеселить админа
Так что единственная достоверная информация о IP-адресе, с которого пришел запрос - это REMOTE_ADDR.