![$_SERVER['HTTP_HOST'] vs. $_SERVER['SERVER_NAME']: Which is the Right Hostname Variable for PHP?](https://img.php.cn/upload/article/000/000/000/173326399999437.jpg)
确定 PHP 脚本的正确主机名变量
在 PHP 脚本中定义链接时,为主机名选择适当的变量至关重要。从历史上看,人们认为应该使用 $_SERVER['HTTP_HOST'],因为它基于客户端的请求,而 $_SERVER['SERVER_NAME'] 基于服务器的配置文件并且可能会有所不同。
然而,正如 Chris Shiflett 的文章“SERVER_NAME Versus HTTP_HOST”中所述,没有明确的答案。只有强制 Apache 使用规范名称,您才能一致地通过 SERVER_NAME 检索到正确的服务器名称。
在不可能的情况下,您可以考虑实施白名单方法:
$allowed_hosts = array('foo.example.com', 'bar.example.com');
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) {
header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
exit;
}此方法涉及根据预定义的允许值列表检查主机名。如果列表中不存在主机名,则会返回错误。
需要注意的是,虽然 $_SERVER['HTTP_HOST'] 似乎是一个更灵活的选择,但它可能容易受到以下操作的影响恶意行为者。这可能会损害您的应用程序的安全性。
因此,最佳决策取决于您的具体要求和安全考虑。如果您需要可靠且一致的服务器名称,则可能需要在服务器配置中强制主机名规范化并使用 $_SERVER['SERVER_NAME']。或者,使用 $_SERVER['HTTP_HOST'] 的白名单方法提供了更灵活但可能不太安全的选项。
以上是$_SERVER[\'HTTP_HOST\'] 与 $_SERVER[\'SERVER_NAME\']:哪个是 PHP 的正确主机名变量?的详细内容。更多信息请关注PHP中文网其他相关文章!
