PHP 中哪些 $_SERVER 变量可以安全使用？

识别安全的 $_SERVER 变量

攻击者可以利用用户可以控制的变量，使它们不安全或“被污染”。本文旨在提供 $_SERVER 变量及其各自安全级别的完整列表。

服务器控制

这些变量由服务器设置，不受用户影响输入：

• 'GATEWAY_INTERFACE'
• 'SERVER_ADDR'
• 'SERVER_SOFTWARE'
• 'DOCUMENT_ROOT'
• 'SERVER_ADMIN'
• 'SERVER_SIGNATURE'

部分服务器控制

这些变量取决于客户端的请求，但有效值有限，使其可靠：

• 'HTTPS'
• 'REQUEST_TIME'
• 'REMOTE_ADDR'（通过 TCP/IP 握手验证）
• 'REMOTE_HOST'（可能是欺骗性的） )
• 'REMOTE_PORT'
• 'SERVER_PROTOCOL'
• 'HTTP_HOST'（如果服务器未处理）
• 'SERVER_NAME'
• 'SCRIPT_FILENAME'
• 'SERVER_PORT'
• 'SCRIPT_NAME'

完全任意用户控制

这些变量是容易受到用户操纵：

• 'argv'、'argc'
• 'REQUEST_METHOD'
• 'QUERY_STRING'
• 'HTTP_ACCEPT'
• 'HTTP_ACCEPT_CHARSET'
• 'HTTP_ACCEPT_ENCODING'
• 'HTTP_ACCEPT_LANGUAGE'
• 'HTTP_CONNECTION'
• 'HTTP_REFERER'
• ' HTTP_USER_AGENT'
• 'AUTH_TYPE'
• 'PHP_AUTH_DIGEST'
• 'PHP_AUTH_USER'
• 'PHP_AUTH_PW'
• 'PATH_INFO'
• 'ORIG_PATH_INFO'
• 'REQUEST_URI'（可能包含受污染的数据）
• 'PHP_SELF'（可能包含受污染的数据）
• 'PATH_TRANSLATED'
• 任何其他“HTTP_”值

环境变量

环境变量的安全性取决于其来源。它们的范围可以从完全服务器控制到完全用户控制。

以上是PHP 中哪些 $_SERVER 变量可以安全使用？的详细内容。更多信息请关注PHP中文网其他相关文章！