Если в заголовке запроса присутствуют X-requested-For, X-Real-IP, Proxy-Client-IP, WL-Proxy-Client-IP, HTTP_CLIENT_IP или HTTP_X_FORWARDED_FOR, то можно подделать IP-адрес клиента.