PHP $ _SERVER ['HTTP_HOST'] против $ _SERVER ['SERVER_NAME'], правильно ли я понимаю справочные страницы?

Question

PHP $ _SERVER ['HTTP_HOST'] против $ _SERVER ['SERVER_NAME'], правильно ли я понимаю справочные страницы?

126

Я много искал, а также читал PHP $_ SERVER docs. Имею ли я это право относительно того, что использовать для моих PHP-скриптов для простых определений ссылок, используемых на моем сайте?

$_SERVER['SERVER_NAME'] основан на файле конфигурации вашего веб-сервера (Apache2 в моем случае) и варьируется в зависимости от нескольких директив: (1) VirtualHost, (2) ServerName, (3) UseCanonicalName и т.д.

$_SERVER['HTTP_HOST'] основан на запросе клиента.

Поэтому мне показалось, что правильный, чтобы использовать мои сценарии как можно более совместимые, будет $_SERVER['HTTP_HOST']. Правильно ли это предположение?

Комментарии для последующего просмотра:

Полагаю, я получил немного параноидальный после прочтения этой статьи и отметил, что некоторые люди сказали: "Они не будут доверять никаким из $_SERVER vars":

http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/
http://php.net/manual/en/reserved.variables.server.php#89567 (комментарий: Vladimir Kornea 14-Mar-2009 01:06)

По-видимому, обсуждение в основном о $_SERVER['PHP_SELF'] и почему вы не должны использовать его в атрибуте action формы без надлежащего экранирования для предотвращения атак XSS.

Мой вывод о моем первоначальном вопросе выше заключается в том, что "безопасно" использовать $_SERVER['HTTP_HOST'] для всех ссылок на сайте, не беспокоясь о атак XSS, даже если они используются в формах.

Пожалуйста, поправьте меня, если я ошибаюсь.

Jeff 22 сен. 2009, в 13:44

Источник

Теги:

php

apache

security

owasp

8 ответов

52

Еще одно примечание: если сервер работает на порту, отличном от 80 (как это может быть распространено на машине разработки/интрасети), то HTTP_HOST содержит порт, а SERVER_NAME - нет.

$_SERVER['HTTP_HOST'] == 'localhost:8080'
$_SERVER['SERVER_NAME'] == 'localhost'

(По крайней мере, то, что я заметил в виртуальных хостах на базе Apache)

Как отметил Майк ниже, HTTP_HOST не содержит :443 при работе на HTTPS (если вы не работаете на нестандартном порту, который я не тестировал).

Simon East 21 авг. 2012, в 00:10

4

Примечание: порт отсутствует в HTTP_HOST для 443 (порт SSL по умолчанию).
Mike 11 сен. 2013, в 19:03
0

Другими словами, значение HTTP_HOST не является параметром Host: предоставленным пользователем. Это просто основано на этом.
Pacerier 05 март 2015, в 22:48
1

@Pacerier Нет, все наоборот: HTTP_HOST - это именно то поле Host:, которое было предоставлено вместе с HTTP-запросом. Порт является его частью, и браузеры не упоминают его, когда он используется по умолчанию (80 для HTTP; 443 для HTTPS)
xhienne 27 авг. 2018, в 09:07

Показать ещё 1 комментарий

21

Это подробный перевод того, что Symfony использует для получения имени хоста (см. второй пример для более буквального перевода):

function getHost() {
    $possibleHostSources = array('HTTP_X_FORWARDED_HOST', 'HTTP_HOST', 'SERVER_NAME', 'SERVER_ADDR');
    $sourceTransformations = array(
        "HTTP_X_FORWARDED_HOST" => function($value) {
            $elements = explode(',', $value);
            return trim(end($elements));
        }
    );
    $host = '';
    foreach ($possibleHostSources as $source)
    {
        if (!empty($host)) break;
        if (empty($_SERVER[$source])) continue;
        $host = $_SERVER[$source];
        if (array_key_exists($source, $sourceTransformations))
        {
            $host = $sourceTransformations[$source]($host);
        } 
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

Устаревшие:

Это мой перевод на пустой PHP метода, используемого в платформе Symfony, который пытается получить имя хоста всеми возможными способами в порядке лучшей практики:

function get_host() {
    if ($host = $_SERVER['HTTP_X_FORWARDED_HOST'])
    {
        $elements = explode(',', $host);

        $host = trim(end($elements));
    }
    else
    {
        if (!$host = $_SERVER['HTTP_HOST'])
        {
            if (!$host = $_SERVER['SERVER_NAME'])
            {
                $host = !empty($_SERVER['SERVER_ADDR']) ? $_SERVER['SERVER_ADDR'] : '';
            }
        }
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

antitoxic 18 янв. 2012, в 12:36

0

этот код вредит моему мозгу! .. пожалуйста, ради любви к бабочкам, не пишите свой код таким образом! (извините за мой английский)
StefanNch 11 май 2014, в 12:31
1

@StefanNch Пожалуйста, определите «этот путь».
showdev 22 июль 2014, в 16:18
1

@showdev Я действительно нахожу "трудно" читать оператор условия, например if ($host = $_SERVER['HTTP_X_FORWARDED_HOST']) или x = a == 1 ? True : False В первый раз, когда я увидел это, мой мозг искал инстанцирования $ host и ответа на вопрос «почему только один» = «знак?». Я начинаю не любить слабые языки программирования. Все написано по-другому. Вы не экономите время, и вы не особенный. Я не пишу код таким образом, потому что по прошествии времени я должен отлаживать его. Выглядит очень грязно для усталого мозга! Я знаю, что мой английский - английский, но, по крайней мере, я стараюсь.
StefanNch 23 июль 2014, в 11:20
1

ребята, я просто портировал код от Symfony. Я так и принял. Для всего это имеет значение - это работает, и это кажется довольно основательным. Я тоже считаю, что это недостаточно читабельно, но у меня не было времени полностью переписать его.
antitoxic 23 июль 2014, в 16:38
2

Выглядит хорошо для меня. Это троичные операторы, которые могут сэкономить время (и байты) без потери читабельности при правильном использовании.
showdev 24 июль 2014, в 17:56
0

Сохранение байтов полезно только для языков ассемблера. Если эта техника экономит ваше время и вы можете справиться с этим в будущем, я ничего не имею против. Я здесь не для того, чтобы создавать противоречие из личных предпочтений функции; если это работает, это хорошо. Для меня более медленная запись / более быстрое чтение экономит время. Мои извинения, если я кого-то обидел.
StefanNch 25 июль 2014, в 07:05
0

@StefanNch, я добавил более подробный пример. Я надеюсь, что это более полезно.
antitoxic 25 июль 2014, в 09:40
0

@antitoxic, -1 Программисты Symfony (как и многие другие) точно не знают, что они делают в этом случае. Это не дает вам имя хоста (см. Ответ Саймона). Это просто даст вам лучшее предположение, которое много раз будет ошибочным.
Pacerier 05 март 2015, в 16:36
0

@StefanNch "Сохранение байтов полезно только для языков ассемблера", крайне не соответствует действительности. Просто чтобы указать на один пример для языков сценариев, таких как PHP, сохраненные байты могут помочь в более быстрых синтаксических разборках для интерпретатора. Быть многословным обычно не влияет на скомпилированные языки. Также вы должны действительно привыкнуть к чтению троичных выражений в качестве программиста, они доступны на большинстве языков и повышают удобочитаемость, если вы просто не знаете язык ..
Garet Claborn 07 апр. 2015, в 23:36
1

@GaretClaborn Я провел слишком много тестов «производительности» в своей жизни, чтобы понять, что проблема не должна быть на моих плечах. Пока я буду заниматься программированием, я буду пытаться писать свой код, зная, что другие могут его понять. Нет времени расшифровывать только потому, что машина анализирует и выполняет код на 0,001 секунды быстрее для 1 миллиона вызовов. Во всяком случае, это мое мнение, основанное на моем опыте. Когда я могу улучшить сценарий, я не делаю имена переменных просто для того, чтобы доказать, насколько я хардкорный. Не успеваю уточнять дальше, так что удачи.
StefanNch 09 апр. 2015, в 10:36
0

@StefanNch Извините, у меня нет времени, чтобы объяснить основы, как это, но вы должны исследовать лучше.
Garet Claborn 09 апр. 2015, в 11:45
0

@GaretClaborn Ни я не просил об этом. Я объяснил свою точку зрения так хорошо, как мог, и в значительной степени именно это.
StefanNch 09 апр. 2015, в 16:34

Показать ещё 10 комментариев

19

Используйте либо. Они оба одинаково безопасны, так как во многих случаях SERVER_NAME просто заполняется из HTTP_HOST. Обычно я запускаю HTTP_HOST, так что пользователь остается на том точном имени хоста, с которого они начали. Например, если у меня есть тот же сайт в домене .com и .org, я не хочу отправлять кого-то из .org в .com, особенно если у них могут быть маркеры входа в .org, которые они потеряли бы, если бы отправили другой домен.

В любом случае вам просто нужно быть уверенным, что ваш webapp будет реагировать только на хорошо известные домены. Это может быть выполнено либо (a) с проверкой на стороне приложения, как Gumbo, либо (b) с использованием виртуального хоста на доменных именах, которые вы хотите, чтобы не отвечал на запросы, которые дают неизвестный заголовок Host.

Причиной этого является то, что если вы разрешаете доступ к вашему сайту под каким-либо старым именем, вы можете открыться для DNS-повторных атак (где другое имя узла сайта указывает на ваш IP-адрес, пользователь обращается к вашему сайту с именем хоста злоумышленника, то имя хоста перемещается на IP-адрес злоумышленника, беря с собой ваши файлы cookie/auth) и угон поисковой системы (где злоумышленник указывает свое собственное имя хоста на вашем сайте и пытается заставить поисковые системы рассматривать его как "лучшее первичное имя хоста" ).

По-видимому, обсуждение в основном связано с $_SERVER ['PHP_SELF'] и почему вы не должны использовать его в атрибуте action формы без надлежащего экранирования для предотвращения атак XSS.

Пфф. Ну, вы не должны использовать что-либо в любом атрибуте без экранирования с помощью htmlspecialchars($string, ENT_QUOTES), поэтому нет ничего особенного в переменных сервера.

bobince 22 сен. 2009, в 17:37

0

Оставаться с решением (a), (b) на самом деле небезопасно, использование абсолютного URI в HTTP-запросах позволяет обойти защиту виртуальных хостов на основе имен. Поэтому настоящим правилом никогда не является доверие к SERVER_NAME или HTTP_HOST.
regilero 22 июнь 2014, в 16:20
0

@bobince, как работает упомянутый поисковик угон? Поисковые системы сопоставляют слова с URL-адресами доменов, они не имеют дело с IP-адресами. Так почему же вы говорите, что «злоумышленник может заставить поисковые системы рассматривать attacker.com как лучший первоисточник IP вашего сервера»? Похоже, это ничего не значит для поисковых систем. Что это вообще собирается делать?
Pacerier 05 март 2015, в 22:50
2

Google, безусловно, имел (и, вероятно, все еще в некоторой форме) концепцию двойных сайтов, так что если ваш сайт доступен как http://example.com/ , http://www.example.com/ и http://93.184.216.34/ он объединит их в один сайт, выберет самый популярный из адресов и вернет только ссылки на эту версию. Если бы вы могли указать evil-example.com на тот же адрес и сделать так, чтобы Google кратко evil-example.com его более популярным, вы могли бы украсть сок сайта. Я не знаю, насколько это практично сегодня, но я видел, как российские злоумышленники пытались сделать это в прошлом.
bobince 06 март 2015, в 07:38
1

И если кто-то использует браузер HTTP 1.0 без заголовка host ...
Anthony Rutledge 09 март 2017, в 05:54

Показать ещё 2 комментария

7

Основное различие между ними состоит в том, что $_SERVER['SERVER_NAME'] - управляемая сервером переменная, а $_SERVER['HTTP_HOST'] - контролируемое пользователем значение.

Правило большого пальца - никогда не доверять значениям пользователя, поэтому $_SERVER['SERVER_NAME'] - лучший выбор.

Как указал Gumbo, Apache будет строить SERVER_NAME из пользовательских значений, если вы не установите UseCanonicalName On.

Изменить: Сказав все это, если сайт использует виртуальный хост на основе имени, заголовок HTTP Host является единственным способом достижения сайтов, которые не являются сайтом по умолчанию.

Powerlord 22 сен. 2009, в 14:20

0

Понял. У меня зависание "как пользователь может изменить значение $ _SERVER ['HTTP_HOST']?" Это вообще возможно?
Jeff 22 сен. 2009, в 13:53
4

Пользователь может изменить это, потому что это только содержимое заголовка Host из входящего запроса. Главный сервер (или VirtualHost, связанный с значением по умолчанию : 80) будет отвечать на все неизвестные хосты, таким образом, содержимое тега Host на этом сайте может быть установлено на что угодно.
Powerlord 22 сен. 2009, в 17:28
4

Обратите внимание, что виртуальные хосты на основе IP ВСЕГДА будут отвечать на их конкретные IP-адреса, поэтому вы ни при каких обстоятельствах не можете доверять им значение хоста HTTP.
Powerlord 22 сен. 2009, в 17:30
0

@Jeff, это все равно что спросить "Можно позвонить по номеру телефона пиццерии и попросить поговорить с персоналом KFC?" Конечно, вы можете запросить что угодно. @Powerlord, это не имеет ничего общего с виртуальными хостами на основе IP. Ваш сервер, независимо от того, виртуальный хост на основе IP или нет, ни при каких обстоятельствах не может доверять значению HTTP Host: если вы его не проверили , ни вручную, ни через настройку SAPI.
Pacerier 05 март 2015, в 22:51

Показать ещё 2 комментария

4

Безопасно ли использовать $_SERVER['HTTP_HOST'] для всех ссылок на сайте, не беспокоясь о атак XSS, даже если они используются в формах?

Да, safe использовать $_SERVER['HTTP_HOST'], (и даже $_GET и $_POST) , пока вы их проверяете, прежде чем принимать их. Это то, что я делаю для защищенных производственных серверов:

/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
$reject_request = true;
if(array_key_exists('HTTP_HOST', $_SERVER)){
    $host_name = $_SERVER['HTTP_HOST'];
    // [ need to cater for `host:port` since some "buggy" SAPI(s) have been known to return the port too, see http://goo.gl/bFrbCO
    $strpos = strpos($host_name, ':');
    if($strpos !== false){
        $host_name = substr($host_name, $strpos);
    }
    // ]
    // [ for dynamic verification, replace this chunk with db/file/curl queries
    $reject_request = !array_key_exists($host_name, array(
        'a.com' => null,
        'a.a.com' => null,
        'b.com' => null,
        'b.b.com' => null
    ));
    // ]
}
if($reject_request){
    // log errors
    // display errors (optional)
    exit;
}
/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
echo 'Hello World!';
// ...

The advantage of $_SERVER['HTTP_HOST'] is that its behavior is more well-defined than $_SERVER['SERVER_NAME']. Contrast ➫➫:

Содержимое заголовка Host: из текущего запроса, если он есть.

с:

Имя хоста сервера, под которым выполняется текущий script.

Using a better defined interface like $_SERVER['HTTP_HOST'] means that more SAPIs will implement it using reliable well-defined behavior. (Unlike the other.) However, it is still totally SAPI dependent ➫➫:

Нет гарантии, что каждый веб-сервер предоставит любую из этих [ $_SERVER записей]; серверы могут опускать некоторые или предоставлять другим, не перечисленным здесь.

Чтобы понять, как правильно получить имя хоста, прежде всего вам нужно понять, что сервер, содержащий только код, не имеет возможности знать (предварительный вариант для проверки) собственное имя сеть. Он должен взаимодействовать с компонентом, который поставляет ему свое имя. Это можно сделать с помощью:

локальный файл конфигурации
локальная база данных
жесткий код с исходным кодом
внешний запрос (curl)
запрос клиента/злоумышленника Host:
и т.д.

Usually its done via the local (SAPI) config file. Note that you have configured it correctly, e.g. in Apache ➫➫:

Несколько вещей нужно "подделать", чтобы динамический виртуальный хост выглядел как обычный.

Наиболее важным является имя сервера, которое используется Apache для создания самореференциальных URL-адресов и т.д. Оно настроено с помощью директивы ServerName, и оно доступно для CGI через переменную среды SERVER_NAME.

Фактическое значение, используемое во время выполнения, контролируется параметром UseCanonicalName.

С UseCanonicalName Off имя сервера происходит из содержимого заголовка Host: в запросе. С UseCanonicalName DNS он исходит из обратного DNS-поиска IP-адреса виртуального хоста. Первая настройка используется для динамического виртуального хостинга на основе имен, а последняя используется для ** хостинга на базе IP.

Если Apache не может обработать имя сервера, поскольку заголовок Host: отсутствует или поиск DNS не завершен , а затем используется значение, настроенное с помощью ServerName.

Pacerier 05 март 2015, в 23:58

2

Я не уверен и не доверяю $_SERVER['HTTP_HOST'], потому что он зависит от заголовка от клиента. По-другому, если домен, запрошенный клиентом, не мой, они не попадут на мой сайт, потому что DNS и протокол TCP/IP указывают его на правильный пункт назначения. Однако я не знаю, возможно ли захватить DNS, сеть или даже сервер Apache. Чтобы быть в безопасности, я определяю имя хоста в среде и сравниваю его с $_SERVER['HTTP_HOST'].

Добавить SetEnv MyHost domain.com в .htaccess файл на root и добавить код в Common.php

if (getenv('MyHost')!=$_SERVER['HTTP_HOST']) {
  header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
  exit();
}

Я включаю этот файл Common.php на каждую страницу php. Эта страница делает все, что требуется для каждого запроса, например session_start(), модифицирует cookie cookie и отклоняет, если метод post поступает из разных доменов.

CallMeLaNN 15 март 2010, в 01:19

0

Конечно, можно обойти DNS. Злоумышленник может просто выдать поддельное значение Host: напрямую IP-адресу вашего сервера.
Pacerier 05 март 2015, в 22:39

1

XSS всегда будет там, даже если вы используете $_SERVER['HTTP_HOST'], $_SERVER['SERVER_NAME'] ИЛИ $_SERVER['PHP_SELF']

Jaydeep Dave 10 янв. 2014, в 11:20

Ещё вопросы

Примечание: порт отсутствует в HTTP_HOST для 443 (порт SSL по умолчанию).
Другими словами, значение HTTP_HOST не является параметром Host: предоставленным пользователем. Это просто основано на этом.
@Pacerier Нет, все наоборот: HTTP_HOST - это именно то поле Host:, которое было предоставлено вместе с HTTP-запросом. Порт является его частью, и браузеры не упоминают его, когда он используется по умолчанию (80 для HTTP; 443 для HTTPS)
этот код вредит моему мозгу! .. пожалуйста, ради любви к бабочкам, не пишите свой код таким образом! (извините за мой английский)
@StefanNch Пожалуйста, определите «этот путь».
@showdev Я действительно нахожу "трудно" читать оператор условия, например if ($host = $_SERVER['HTTP_X_FORWARDED_HOST']) или x = a == 1 ? True : False В первый раз, когда я увидел это, мой мозг искал инстанцирования $ host и ответа на вопрос «почему только один» = «знак?». Я начинаю не любить слабые языки программирования. Все написано по-другому. Вы не экономите время, и вы не особенный. Я не пишу код таким образом, потому что по прошествии времени я должен отлаживать его. Выглядит очень грязно для усталого мозга! Я знаю, что мой английский - английский, но, по крайней мере, я стараюсь.
ребята, я просто портировал код от Symfony. Я так и принял. Для всего это имеет значение - это работает, и это кажется довольно основательным. Я тоже считаю, что это недостаточно читабельно, но у меня не было времени полностью переписать его.
Выглядит хорошо для меня. Это троичные операторы, которые могут сэкономить время (и байты) без потери читабельности при правильном использовании.
Сохранение байтов полезно только для языков ассемблера. Если эта техника экономит ваше время и вы можете справиться с этим в будущем, я ничего не имею против. Я здесь не для того, чтобы создавать противоречие из личных предпочтений функции; если это работает, это хорошо. Для меня более медленная запись / более быстрое чтение экономит время. Мои извинения, если я кого-то обидел.
@StefanNch, я добавил более подробный пример. Я надеюсь, что это более полезно.
@antitoxic, -1 Программисты Symfony (как и многие другие) точно не знают, что они делают в этом случае. Это не дает вам имя хоста (см. Ответ Саймона). Это просто даст вам лучшее предположение, которое много раз будет ошибочным.
@StefanNch "Сохранение байтов полезно только для языков ассемблера", крайне не соответствует действительности. Просто чтобы указать на один пример для языков сценариев, таких как PHP, сохраненные байты могут помочь в более быстрых синтаксических разборках для интерпретатора. Быть многословным обычно не влияет на скомпилированные языки. Также вы должны действительно привыкнуть к чтению троичных выражений в качестве программиста, они доступны на большинстве языков и повышают удобочитаемость, если вы просто не знаете язык ..
@GaretClaborn Я провел слишком много тестов «производительности» в своей жизни, чтобы понять, что проблема не должна быть на моих плечах. Пока я буду заниматься программированием, я буду пытаться писать свой код, зная, что другие могут его понять. Нет времени расшифровывать только потому, что машина анализирует и выполняет код на 0,001 секунды быстрее для 1 миллиона вызовов. Во всяком случае, это мое мнение, основанное на моем опыте. Когда я могу улучшить сценарий, я не делаю имена переменных просто для того, чтобы доказать, насколько я хардкорный. Не успеваю уточнять дальше, так что удачи.
@StefanNch Извините, у меня нет времени, чтобы объяснить основы, как это, но вы должны исследовать лучше.
@GaretClaborn Ни я не просил об этом. Я объяснил свою точку зрения так хорошо, как мог, и в значительной степени именно это.
Оставаться с решением (a), (b) на самом деле небезопасно, использование абсолютного URI в HTTP-запросах позволяет обойти защиту виртуальных хостов на основе имен. Поэтому настоящим правилом никогда не является доверие к SERVER_NAME или HTTP_HOST.
@bobince, как работает упомянутый поисковик угон? Поисковые системы сопоставляют слова с URL-адресами доменов, они не имеют дело с IP-адресами. Так почему же вы говорите, что «злоумышленник может заставить поисковые системы рассматривать attacker.com как лучший первоисточник IP вашего сервера»? Похоже, это ничего не значит для поисковых систем. Что это вообще собирается делать?
Google, безусловно, имел (и, вероятно, все еще в некоторой форме) концепцию двойных сайтов, так что если ваш сайт доступен как http://example.com/ , http://www.example.com/ и http://93.184.216.34/ он объединит их в один сайт, выберет самый популярный из адресов и вернет только ссылки на эту версию. Если бы вы могли указать evil-example.com на тот же адрес и сделать так, чтобы Google кратко evil-example.com его более популярным, вы могли бы украсть сок сайта. Я не знаю, насколько это практично сегодня, но я видел, как российские злоумышленники пытались сделать это в прошлом.
И если кто-то использует браузер HTTP 1.0 без заголовка host ...
Понял. У меня зависание "как пользователь может изменить значение $ _SERVER ['HTTP_HOST']?" Это вообще возможно?
Пользователь может изменить это, потому что это только содержимое заголовка Host из входящего запроса. Главный сервер (или VirtualHost, связанный с значением по умолчанию : 80) будет отвечать на все неизвестные хосты, таким образом, содержимое тега Host на этом сайте может быть установлено на что угодно.
Обратите внимание, что виртуальные хосты на основе IP ВСЕГДА будут отвечать на их конкретные IP-адреса, поэтому вы ни при каких обстоятельствах не можете доверять им значение хоста HTTP.
@Jeff, это все равно что спросить "Можно позвонить по номеру телефона пиццерии и попросить поговорить с персоналом KFC?" Конечно, вы можете запросить что угодно. @Powerlord, это не имеет ничего общего с виртуальными хостами на основе IP. Ваш сервер, независимо от того, виртуальный хост на основе IP или нет, ни при каких обстоятельствах не может доверять значению HTTP Host: если вы его не проверили , ни вручную, ни через настройку SAPI.
Конечно, можно обойти DNS. Злоумышленник может просто выдать поддельное значение Host: напрямую IP-адресу вашего сервера.

Gumbo · Accepted Answer · 2009-09-22T13-37-00.000Z

Это, наверное, все сначала подумали. Но это немного сложнее. См. статья Криса Шифлетта SERVER_NAME Versus HTTP_HOST.

Кажется, что нет серебряной пули. Только когда вы вынудите Apache использовать каноническое имя, вы всегда получите правильное имя сервера с помощью SERVER_NAME.

Итак, вы либо идете с этим, либо проверяете имя хоста на белый список:

$allowed_hosts = array('foo.example.com', 'bar.example.com');
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) {
    header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
    exit;
}

Лол, я прочитал эту статью, и она, похоже, не отвечала на мой вопрос. Какой из них используют профессиональные разработчики? Если либо.
Интересно, я никогда не знал, что SERVER_NAME по умолчанию использует введенные пользователем значения в Apache.
@Jeff, Для серверов, на которых размещено более одного субдомена, у вас есть только два варианта $_SERVER['SERVER_NAME'] и $_SERVER['HTTP_HOST'] (кроме реализации некоторых других пользовательских рукопожатий, основанных на запросе пользователя). Профессиональные разработчики не доверяют вещам, которые они не понимают полностью. Таким образом, они либо настроили свой SAPI совершенно правильно (в этом случае выбранный параметр даст правильный результат), либо они составят белый список так, что не имеет значения, какие значения поставляются SAPI.
@ Gumbo, вам нужно применить патч "port" из-за серьезных проблем с некоторыми SAPI. Кроме того, array_key_exists более масштабируем по сравнению с in_array который имеет производительность O (n).
@Pacerier array_key_exists и in_array делают разные вещи, прежние проверки ключей, последующие значения, поэтому вы не можете просто поменять их местами. Кроме того, если у вас есть массив из двух значений, вам не стоит беспокоиться о производительности O (n) ...