Как безопасно использовать HTTP_HOST и SERVER_NAME?

Question

[Сергей Олейник]

Многие используют переменные HTTP_HOST и SERVER_NAME. Как безопасно использовать, эти переменные? Согласно документации PHP, если я правильно понял, HTTP_HOST и SERVER_NAME уязвимы. Что делать в ситуации, когда нужно получить HOSTNAME?

// Пример, часто встречается в различных приложениях.
$hostName = isset($_SERVER['SERVER_NAME']) ? $_SERVER['SERVER_NAME'] : 'localhost');

Answer 1

[Юрий]

вы про эту статью ?

HTTP_HOST это то что в заголовках приходит от клиента (межет быть подменено).
SERVER_NAME то что прописано в настройках веб сервера (не подменяется).

проблема только если на сервере ваш скрипт запускается как default host. там можно подменить оба, но тут уже проблема юзера который так настроил.

если боитесь xss через host, экрайнируйте его при выводе.
sql inj в наше время вряд ли допустите.

Comments

[Сергей Олейник]

Использую оба варианта HTTP_HOST и SERVER_NAME, конечный результат (одно из двух, содержит значение) фильтрую через filter_var FILTER_VALIDATE_URL.

[Юрий]

Сергей Олейник: ну и норм.

Answer 2

[Николай Конюхов]

На оверфлоу посмотрите

Comments

[Сергей Олейник]

Уже смотрел. Вариант с использованием массива, с перечислением возможных доменов и поддоменов, мне не подходит.