PHP $ _SERVER ['HTTP_HOST'] बनाम $ _SERVER ['SERVER_NAME'], क्या मैं मैन पेजों को ठीक से समझ रहा हूँ?

मैंने बहुत खोज की और PHP $ _SERVER डॉक्स भी पढ़े । क्या मेरे पास यह अधिकार है कि मैं अपनी पूरी साइट में उपयोग की जाने वाली सरल लिंक परिभाषाओं के लिए अपनी PHP लिपियों का उपयोग करूं?

$_SERVER['SERVER_NAME'] आपके वेब सर्वर की कॉन्फ़िगरेशन फ़ाइल (मेरे मामले में Apache2) पर आधारित है, और कुछ निर्देशों के आधार पर भिन्न होता है: (1) VirtualHost, (2) ServerName, (3) UseCanonicalName, आदि।

$_SERVER['HTTP_HOST'] ग्राहक से अनुरोध पर आधारित है।

इसलिए, यह मुझे प्रतीत होगा कि मेरी लिपियों को यथासंभव संगत बनाने के लिए उपयोग करने वाला उचित होगा $_SERVER['HTTP_HOST']। क्या यह धारणा सही है?

अनुवर्ती टिप्पणियाँ:

मुझे लगता है कि मैं इस लेख को पढ़ने के बाद थोड़ा पागल हो गया और ध्यान दिया कि कुछ लोगों ने कहा "वे किसी भी $_SERVERसंस्करण पर भरोसा नहीं करेंगे ":

• http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/

• http://php.net/manual/en/reserved.variables.server.php#89567 (टिप्पणी: व्लादिमीर Kornea 14-Mar-2009 01:06)

जाहिरा तौर पर चर्चा मुख्य रूप से होती है $_SERVER['PHP_SELF']और आपको XSS हमलों को रोकने के लिए उचित रूप से भागने के बिना फॉर्म एक्शन विशेषता में इसका उपयोग क्यों नहीं करना चाहिए।

ऊपर मेरे मूल प्रश्न के बारे में मेरा निष्कर्ष यह है कि $_SERVER['HTTP_HOST']XSS हमलों के बारे में चिंता किए बिना किसी साइट पर सभी लिंक के लिए उपयोग करना "सुरक्षित" है , यहां तक ​​कि रूपों में उपयोग किए जाने पर भी।

कृपया मुझे सुधारें अगर मैं गलत हूं।

यह शायद हर किसी का पहला विचार है। लेकिन यह थोड़ा मुश्किल है। देखें क्रिस शिफलेट का लेख SERVER_NAMEबनामHTTP_HOST ।

ऐसा लगता है कि चांदी की गोली नहीं है। केवल जब आप अपाचे को विहित नाम का उपयोग करने के लिए मजबूर करते हैं तो आपको हमेशा सही सर्वर नाम मिलेगा SERVER_NAME।

तो आप या तो उसके साथ जाते हैं या आप एक सफेद सूची के खिलाफ होस्ट नाम की जांच करते हैं:

$allowed_hosts = array('foo.example.com', 'bar.example.com');
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) {
    header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
    exit;
}

बस एक अतिरिक्त नोट - यदि सर्वर 80 के अलावा किसी पोर्ट पर चलता है (जैसा कि एक डेवलपमेंट / इंट्रानेट मशीन पर आम हो सकता है) तो HTTP_HOSTपोर्ट होता है, जबकि SERVER_NAMEऐसा नहीं है।

$_SERVER['HTTP_HOST'] == 'localhost:8080'
$_SERVER['SERVER_NAME'] == 'localhost'

(कम से कम यही मैंने अपाचे पोर्ट-आधारित वर्चुअलहोस्टेस में देखा है)

माइक नीचे उल्लेख किया गया है के रूप में, HTTP_HOSTकरता नहीं होते हैं :443जब HTTPS पर चल रहा है (जब तक आप एक गैर मानक पोर्ट, जो मैं परीक्षण नहीं किया पर चल रहे हैं)।

या तो उपयोग करें। वे दोनों समान रूप से (सुरक्षित) हैं, क्योंकि कई मामलों में SERVER_NAME वैसे भी HTTP_HOST से ही आबाद है। मैं आमतौर पर HTTP_HOST के लिए जाता हूं, ताकि उपयोगकर्ता उस सटीक होस्ट नाम पर बने रहें जिस पर उन्होंने शुरुआत की थी। उदाहरण के लिए यदि मेरे पास .com और .org डोमेन पर एक ही साइट है, तो मैं .org से .com पर किसी को भेजना नहीं चाहता, खासतौर पर तब जब उनके पास .org पर लॉगिन टोकन हो सकते हैं जो कि भेजे जाने पर वे खो देंगे। अन्य डोमेन।

किसी भी तरह से, आपको बस यह सुनिश्चित करने की आवश्यकता है कि आपका वेबप केवल ज्ञात-अच्छे डोमेन के लिए प्रतिक्रिया देगा। यह या तो (ए) किसी एप्लिकेशन-साइड चेक के साथ किया जा सकता है जैसे कि गुम्बो, या (बी) डोमेन नाम (ओं) पर एक वर्चुअल होस्ट का उपयोग करके जो आप चाहते हैं कि अज्ञात होस्ट हेडर देने वाले अनुरोधों का जवाब न दें ।

इसका कारण यह है कि यदि आप अपनी साइट को किसी पुराने नाम के तहत एक्सेस करने की अनुमति देते हैं, तो आप अपने आप को डीएनएस विद्रोही हमलों के लिए खोल देते हैं (जहां किसी अन्य साइट का होस्टनाम आपके आईपी को इंगित करता है, एक उपयोगकर्ता हमलावर के होस्टनाम के साथ आपकी साइट तक पहुंचता है, फिर होस्टनाम हमलावर के आईपी में ले जाया जाता है, अपने कुकीज़ / ऑर्ट को इसके साथ ले जाता है) और खोज इंजन अपहरण (जहां एक हमलावर आपकी साइट पर अपना स्वयं का होस्टनाम बताता है और खोज इंजन को 'सर्वश्रेष्ठ' प्राथमिक होस्टनाम के रूप में देखने की कोशिश करता है)।

जाहिरा तौर पर चर्चा मुख्य रूप से $ _SERVER ['PHP_SELF'] के बारे में है और आपको XSS हमलों को रोकने के लिए उचित रूप से भागने के बिना फॉर्म एक्शन विशेषता में इसका उपयोग क्यों नहीं करना चाहिए।

Pfft। वैसे आपको बिना भागने के किसी भी विशेषता में कुछ भी उपयोग नहीं करना चाहिए , इसलिए वहां सर्वर चर के बारे में कुछ खास नहीं है।htmlspecialchars($string, ENT_QUOTES)

यह होस्ट नाम प्राप्त करने के लिए सिम्फनी का उपयोग करने का एक क्रियात्मक अनुवाद है ( अधिक शाब्दिक अनुवाद के लिए दूसरा उदाहरण देखें ):

function getHost() {
    $possibleHostSources = array('HTTP_X_FORWARDED_HOST', 'HTTP_HOST', 'SERVER_NAME', 'SERVER_ADDR');
    $sourceTransformations = array(
        "HTTP_X_FORWARDED_HOST" => function($value) {
            $elements = explode(',', $value);
            return trim(end($elements));
        }
    );
    $host = '';
    foreach ($possibleHostSources as $source)
    {
        if (!empty($host)) break;
        if (empty($_SERVER[$source])) continue;
        $host = $_SERVER[$source];
        if (array_key_exists($source, $sourceTransformations))
        {
            $host = $sourceTransformations[$source]($host);
        } 
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

रगड़ा हुआ:

यह सिम्फनी फ्रेमवर्क में उपयोग की जाने वाली एक विधि के नंगे PHP के लिए मेरा अनुवाद है जो बेहतरीन तरीके से क्रम में होस्टनाम को हर तरह से संभव बनाने की कोशिश करता है:

function get_host() {
    if ($host = $_SERVER['HTTP_X_FORWARDED_HOST'])
    {
        $elements = explode(',', $host);

        $host = trim(end($elements));
    }
    else
    {
        if (!$host = $_SERVER['HTTP_HOST'])
        {
            if (!$host = $_SERVER['SERVER_NAME'])
            {
                $host = !empty($_SERVER['SERVER_ADDR']) ? $_SERVER['SERVER_ADDR'] : '';
            }
        }
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

क्या $_SERVER['HTTP_HOST']XSS हमलों के बारे में चिंता किए बिना किसी साइट पर सभी लिंक के लिए उपयोग करना "सुरक्षित" है , यहां तक ​​कि रूपों में भी इस्तेमाल किया जाता है?

हाँ, यह है सुरक्षित उपयोग करने के लिए $_SERVER['HTTP_HOST'], (और यहां तक कि $_GETऔर $_POST) तक आप उन्हें सत्यापित करने के रूप में के रूप में उन्हें स्वीकार करने से पहले। यह मैं सुरक्षित उत्पादन सर्वरों के लिए करता हूं:

/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
$reject_request = true;
if(array_key_exists('HTTP_HOST', $_SERVER)){
    $host_name = $_SERVER['HTTP_HOST'];
    // [ need to cater for `host:port` since some "buggy" SAPI(s) have been known to return the port too, see http://goo.gl/bFrbCO
    $strpos = strpos($host_name, ':');
    if($strpos !== false){
        $host_name = substr($host_name, $strpos);
    }
    // ]
    // [ for dynamic verification, replace this chunk with db/file/curl queries
    $reject_request = !array_key_exists($host_name, array(
        'a.com' => null,
        'a.a.com' => null,
        'b.com' => null,
        'b.b.com' => null
    ));
    // ]
}
if($reject_request){
    // log errors
    // display errors (optional)
    exit;
}
/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
echo 'Hello World!';
// ...

इसका लाभ $_SERVER['HTTP_HOST']यह है कि इसके व्यवहार की तुलना में अधिक अच्छी तरह से परिभाषित किया गया है $_SERVER['SERVER_NAME']। कंट्रास्ट ➫➫ :

होस्ट की सामग्री: वर्तमान अनुरोध से हेडर, यदि कोई है।

साथ में:

सर्वर होस्ट का नाम जिसके तहत वर्तमान स्क्रिप्ट निष्पादित हो रही है।

एक बेहतर परिभाषित इंटरफ़ेस का उपयोग करने का $_SERVER['HTTP_HOST']अर्थ है कि अधिक SAPI विश्वसनीय विश्वसनीय व्यवहार का उपयोग करके इसे लागू करेंगे । (विपरीत अन्य ।) हालांकि, यह अभी पूरी तरह से SAPI निर्भर है ➫➫ :

इस बात की कोई गारंटी नहीं है कि प्रत्येक वेब सर्वर इनमें से कोई भी [ $_SERVERप्रविष्टियां] प्रदान करेगा ; सर्वर कुछ को छोड़ सकते हैं, या दूसरों को यहां सूचीबद्ध नहीं कर सकते हैं।

यह समझने के लिए कि मेजबान नाम को ठीक से कैसे प्राप्त किया जाए, सबसे पहले और आपको यह समझने की जरूरत है कि एक सर्वर जिसमें केवल कोड होता है, उसके पास नेटवर्क पर अपना नाम जानने का कोई साधन नहीं होता है । इसे एक घटक के साथ इंटरफ़ेस करने की आवश्यकता है जो इसे अपने नाम से आपूर्ति करता है। इसके जरिए किया जा सकता है:

• स्थानीय कॉन्फ़िगरेशन फ़ाइल

• स्थानीय डेटाबेस

• हार्डकोड स्रोत कोड

• बाहरी अनुरोध ( कर्ल )

• ग्राहक / हमलावर का Host:अनुरोध

• आदि

आमतौर पर इसका स्थानीय (SAPI) कॉन्फ़िगरेशन फ़ाइल के माध्यम से किया जाता है। ध्यान दें कि आपने इसे सही तरीके से कॉन्फ़िगर किया है, उदाहरण के लिए Apache configured :

गतिशील वर्चुअल होस्ट को सामान्य की तरह बनाने के लिए कुछ चीजों को 'फेक' होना चाहिए।

सबसे महत्वपूर्ण सर्वर नाम है जो अपाचे द्वारा स्व-संदर्भ URL बनाने के लिए उपयोग किया जाता है, आदि यह ServerNameनिर्देश के साथ कॉन्फ़िगर किया गया है , और यह SERVER_NAMEपर्यावरण चर के माध्यम से सीजीआई के लिए उपलब्ध है ।

रन टाइम पर उपयोग किया जाने वाला वास्तविक मान UseCanonicalName सेटिंग द्वारा नियंत्रित किया जाता है।

साथ UseCanonicalName Off सर्वर नाम की सामग्री से आता Host:अनुरोध में शीर्ष लेख। इसके साथ UseCanonicalName DNS वर्चुअल होस्ट के IP पते के रिवर्स DNS लुकअप से आता है। पूर्व सेटिंग का उपयोग नाम-आधारित गतिशील वर्चुअल होस्टिंग के लिए किया जाता है, और बाद का उपयोग ** आईपी-आधारित होस्टिंग के लिए किया जाता है।

यदि Apache सर्वर नाम का काम नहीं कर सकता है क्योंकि कोई Host:हेडर नहीं है या DNS लुकअप विफल हो जाता है तोServerName इसके साथ कॉन्फ़िगर किए गए मान का उपयोग किया जाता है।

दोनों के बीच मुख्य अंतर यह है कि $_SERVER['SERVER_NAME']एक सर्वर नियंत्रित चर है, जबकि $_SERVER['HTTP_HOST']एक उपयोगकर्ता-नियंत्रित मूल्य है।

अंगूठे का नियम उपयोगकर्ता से मूल्यों पर कभी भरोसा नहीं करना है, इसलिए $_SERVER['SERVER_NAME']बेहतर विकल्प है।

जैसा कि गम्बो ने बताया, यदि आप सेट नहीं करते हैं, तो Apache उपयोगकर्ता द्वारा आपूर्ति किए गए मानों से SERVER_NAME का निर्माण करेगा UseCanonicalName On।

संपादित करें: सभी ने कहा कि यदि साइट नाम-आधारित वर्चुअल होस्ट का उपयोग कर रही है, तो HTTP होस्ट हेडर उन साइटों तक पहुंचने का एकमात्र तरीका है जो डिफ़ॉल्ट साइट नहीं हैं।

मुझे यकीन नहीं है और वास्तव में भरोसा नहीं है $_SERVER['HTTP_HOST']क्योंकि यह क्लाइंट से हेडर पर निर्भर है। दूसरे तरीके से, यदि क्लाइंट द्वारा अनुरोधित एक डोमेन मेरा नहीं है, तो वे मेरी साइट पर नहीं पहुंचेंगे क्योंकि DNS और TCP / IP प्रोटोकॉल इसे सही गंतव्य पर इंगित करते हैं। हालाँकि मुझे नहीं पता कि DNS, नेटवर्क या अपाचे सर्वर को भी हाईजैक करना संभव है। सुरक्षित होने के लिए, मैं पर्यावरण में होस्ट नाम को परिभाषित करता हूं और इसके साथ तुलना करता हूं $_SERVER['HTTP_HOST']।

जोड़े SetEnv MyHost domain.com.htaccess फाइल में जड़ पर और Common.php में चौथाई कोड जोड़

if (getenv('MyHost')!=$_SERVER['HTTP_HOST']) {
  header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
  exit();
}

मैं हर php पेज में इस Common.php फ़ाइल को शामिल करता हूँ। यह पृष्ठ प्रत्येक अनुरोध के लिए आवश्यक कुछ भी कर रहा है session_start(), सत्र कुकी को संशोधित करें और पोस्ट विधि अलग डोमेन से आए तो अस्वीकार करें।

XSSहमेशा वहाँ होगा भले ही आप का उपयोग करें $_SERVER['HTTP_HOST'], $_SERVER['SERVER_NAME']या$_SERVER['PHP_SELF']

पहले मैं आपको सभी अच्छे उत्तर और स्पष्टीकरण के लिए धन्यवाद देना चाहता हूं। यह वह विधि है जिसे मैंने आधार url प्राप्त करने के लिए आपके सभी उत्तर के आधार पर बनाया है। मैं केवल बहुत ही दुर्लभ परिस्थितियों में इसका उपयोग करता हूं। इसलिए सुरक्षा मुद्दों पर बड़ा ध्यान केंद्रित नहीं है, जैसे XSS हमले। शायद किसी को इसकी जरूरत हो।

// Get base url
function getBaseUrl($array=false) {
    $protocol = "";
    $host = "";
    $port = "";
    $dir = "";  

    // Get protocol
    if(array_key_exists("HTTPS", $_SERVER) && $_SERVER["HTTPS"] != "") {
        if($_SERVER["HTTPS"] == "on") { $protocol = "https"; }
        else { $protocol = "http"; }
    } elseif(array_key_exists("REQUEST_SCHEME", $_SERVER) && $_SERVER["REQUEST_SCHEME"] != "") { $protocol = $_SERVER["REQUEST_SCHEME"]; }

    // Get host
    if(array_key_exists("HTTP_X_FORWARDED_HOST", $_SERVER) && $_SERVER["HTTP_X_FORWARDED_HOST"] != "") { $host = trim(end(explode(',', $_SERVER["HTTP_X_FORWARDED_HOST"]))); }
    elseif(array_key_exists("SERVER_NAME", $_SERVER) && $_SERVER["SERVER_NAME"] != "") { $host = $_SERVER["SERVER_NAME"]; }
    elseif(array_key_exists("HTTP_HOST", $_SERVER) && $_SERVER["HTTP_HOST"] != "") { $host = $_SERVER["HTTP_HOST"]; }
    elseif(array_key_exists("SERVER_ADDR", $_SERVER) && $_SERVER["SERVER_ADDR"] != "") { $host = $_SERVER["SERVER_ADDR"]; }
    //elseif(array_key_exists("SSL_TLS_SNI", $_SERVER) && $_SERVER["SSL_TLS_SNI"] != "") { $host = $_SERVER["SSL_TLS_SNI"]; }

    // Get port
    if(array_key_exists("SERVER_PORT", $_SERVER) && $_SERVER["SERVER_PORT"] != "") { $port = $_SERVER["SERVER_PORT"]; }
    elseif(stripos($host, ":") !== false) { $port = substr($host, (stripos($host, ":")+1)); }
    // Remove port from host
    $host = preg_replace("/:\d+$/", "", $host);

    // Get dir
    if(array_key_exists("SCRIPT_NAME", $_SERVER) && $_SERVER["SCRIPT_NAME"] != "") { $dir = $_SERVER["SCRIPT_NAME"]; }
    elseif(array_key_exists("PHP_SELF", $_SERVER) && $_SERVER["PHP_SELF"] != "") { $dir = $_SERVER["PHP_SELF"]; }
    elseif(array_key_exists("REQUEST_URI", $_SERVER) && $_SERVER["REQUEST_URI"] != "") { $dir = $_SERVER["REQUEST_URI"]; }
    // Shorten to main dir
    if(stripos($dir, "/") !== false) { $dir = substr($dir, 0, (strripos($dir, "/")+1)); }

    // Create return value
    if(!$array) {
        if($port == "80" || $port == "443" || $port == "") { $port = ""; }
        else { $port = ":".$port; } 
        return htmlspecialchars($protocol."://".$host.$port.$dir, ENT_QUOTES); 
    } else { return ["protocol" => $protocol, "host" => $host, "port" => $port, "dir" => $dir]; }
}