Существует ли альтернатива HTTP_HOST без хардкодинга?

Question

[65536]

Вот хорошее описание проблемы habrahabr.ru/post/166855 и два решения, одно с прописыванием разрешенных хостов в пхп, второе вообще в конфигах нгинкса.

Может есть еще варианты? Цель - избавиться от дырки и дополнительных ритуалов при переносе на другой хост

Answer 1

[Александр Аксентьев]

Не использовать http_host в скриптах?

Comments

[65536]

и какова альтернатива?

[Александр Аксентьев]

65536: это уже вам виднее, смотря какая задача

[65536]

Александр Аксентьев: задача - сгенерить в любом месте программы абсолютную ссылку вида http://...

[Александр Аксентьев]

65536: ну так напишите домен в конфиге, зачем вам http_host, если ечь об одном сайте. А если нет, то в чем проблема сделать проверку? Неколько строк проверить или даже просто фильтрануть одной.

[65536]

Александр Аксентьев: пропись в конфиге минус балл к автоматизации, если эту пропись саму не автоматизировать конечно. в идеале надо так чтобы выложил файлы и все само работает независимо от того где лежит. вот этот хттп_хост это последнее что мешает

Answer 2

[Дмитрий Евграфович]

Я может пропустил чего или не понял, объясните. Вот у меня собирается статистика по посещениям и http_host как и все остальные данные пишутся в базу через pdo или orm, которая использует то же pdo. Как злоумышленник реализует инъекцию?

Comments

[65536]

то есть это не зазорно?) а то не раз вычитывал, что использовать хттп_хост это себя не уважать и вообще детский говнокод. да и во всяких фв/цмс применяются разнообразные ухищрения, у кого-то он даже хардкодится в конфиги при установке инсталлятором, а потом делай что хочешь. думаю не бессмысленно его так избегают и тычут пальцем, поэтому и спрашиваю

[Дмитрий Евграфович]

65536: Без понятия, зазорно или нет. Это теоретическая ситуация, которую я смог себе вообразить, в которой HTTP_HOST могла бы попасть в базу данных.