app/Customize/EventListener/IpRateLimitListener.php line 36

Open in your IDE?
  1. <?php
  2. namespace Customize\EventListener;
  4. use Symfony\Component\HttpKernel\Event\RequestEvent;
  5. use Symfony\Component\HttpKernel\Exception\TooManyRequestsHttpException;
  6. use Symfony\Component\HttpKernel\KernelEvents;
  7. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  9. class IpRateLimitListener implements EventSubscriberInterface
  10. {
  11.     private $cacheDir;
  12.     
  13.     // ホワイトリストIP(自分のIPアドレスを追加)
  14.     private $whitelist = [
  15.         '127.0.0.1',
  16.         '::1',
  17.         // 自分のIPアドレスをここに追加
  18.         // 例: '123.456.789.012',
  19.     ];
  20.     
  21.     public function __construct(string $cacheDir)
  22.     {
  23.         $this->cacheDir $cacheDir '/ip_limit';
  24.         if (!is_dir($this->cacheDir)) {
  25.             mkdir($this->cacheDir0777true);
  26.         }
  27.     }
  28.     
  29.     public static function getSubscribedEvents(): array
  30.     {
  31.         return [
  32.             KernelEvents::REQUEST => ['onKernelRequest'15],
  33.         ];
  34.     }
  35.     
  36.     public function onKernelRequest(RequestEvent $event)
  37.     {
  38.         if (!$event->isMasterRequest()) {
  39.             return;
  40.         }
  41.         
  42.         $request $event->getRequest();
  43.         $ip $request->getClientIp();
  44.         
  45.         // ホワイトリストIPは除外
  46.         if (in_array($ip$this->whitelist)) {
  47.             return;
  48.         }
  49.         
  50.         // 管理画面は除外
  51.         if (strpos($request->getPathInfo(), '/admin') === 0) {
  52.             return;
  53.         }
  54.         
  55.         // ログインセッションチェック
  56.         $session $request->getSession();
  57.         if ($session) {
  58.             // 管理者ログイン中は除外
  59.             if ($session->has('_security_admin')) {
  60.                 return;
  61.             }
  62.             // 顧客ログイン中も除外(オプション)
  63.             // if ($session->has('_security_customer')) {
  64.             //     return;
  65.             // }
  66.         }
  67.         
  68.         // POSTリクエストのみチェック
  69.         if ($request->getMethod() !== 'POST') {
  70.             return;
  71.         }
  72.         
  73.         // 3段階の制限
  74.         // 1. 短期: 5分間に10回
  75.         $this->checkLimit($ip'short'10300);
  76.         
  77.         // 2. 中期: 1時間に30回
  78.         $this->checkLimit($ip'medium'303600);
  79.         
  80.         // 3. 長期: 24時間に100回(これを超えたら1日ブロック)
  81.         $this->checkLimit($ip'long'10086400);
  82.     }
  83.     
  84.     private function checkLimit($ip$type$maxAttempts$period)
  85.     {
  86.         $key md5($ip '_' $type);
  87.         $file $this->cacheDir '/' $key;
  88.         
  89.         $now time();
  90.         
  91.         if (file_exists($file)) {
  92.             $data json_decode(file_get_contents($file), true);
  93.             
  94.             // 古いデータをクリーンアップ
  95.             $data['attempts'] = array_filter($data['attempts'], function($time) use ($now$period) {
  96.                 return ($now $time) < $period;
  97.             });
  98.             
  99.             if (count($data['attempts']) >= $maxAttempts) {
  100.                 $oldest min($data['attempts']);
  101.                 $waitTime $period - ($now $oldest);
  102.                 
  103.                 // 長期制限に引っかかった場合は特別なログ
  104.                 if ($type === 'long') {
  105.                     error_log(sprintf(
  106.                         '[IP Rate Limit SEVERE] IP: %s blocked for 24 hours. Total attempts: %d',
  107.                         $ipcount($data['attempts'])
  108.                     ));
  109.                     
  110.                     throw new TooManyRequestsHttpException(
  111.                         $waitTime,
  112.                         '送信回数の上限を大幅に超えました。24時間後に再度お試しください。'
  113.                     );
  114.                 }
  115.                 
  116.                 error_log(sprintf(
  117.                     '[IP Rate Limit] IP: %s, Type: %s, Path: %s, Blocked for %d seconds',
  118.                     $ip$type$_SERVER['REQUEST_URI'] ?? 'unknown'$waitTime
  119.                 ));
  120.                 
  121.                 throw new TooManyRequestsHttpException(
  122.                     $waitTime,
  123.                     sprintf('送信回数が多すぎます。%d秒後に再度お試しください。'$waitTime)
  124.                 );
  125.             }
  126.             
  127.             $data['attempts'][] = $now;
  128.         } else {
  129.             $data = [
  130.                 'ip' => $ip,
  131.                 'attempts' => [$now],
  132.                 'first_seen' => date('Y-m-d H:i:s')
  133.             ];
  134.         }
  135.         
  136.         file_put_contents($filejson_encode($data));
  137.     }
  138. }