Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > PHP: Общие вопросы > Всегда ли будет значение в $_SERVER['HTTP_HOST'] ?


Автор: maxipub 26.2.2013, 14:14
Код

'HTTP_HOST' - Содержимое шапки Host: из текущего запроса, если имеется.


Ребята, подскажите, могут ли быть такие ситуации, когда $_SERVER['HTTP_HOST'] будет пустым или некорректным?! Просто я его использую в конструкциях типа:

Код

header('Location: https://'.$_SERVER['HTTP_HOST'].'/bla-bla-bla');


И т.д...

(вариант с относительными ссылками не предлагать)

Автор: krundetz 26.2.2013, 14:22
maxipub, может быть и пустым и не корректным, все зависит от контекста

Автор: Vardoulacha 27.2.2013, 04:58
я использую такой же код, за 7 лет на разных хостингах не было еще такой ситуации чтобы там было что-то неправильное, но если нарваться на кривую настройку хостинга тогда да ))

Автор: maxipub 27.2.2013, 11:39
А может быть такая ситуация, что этот момент будет зависеть от пользователя?

Автор: Arantir 27.2.2013, 16:31
Цитата(maxipub @  27.2.2013,  10:39 Найти цитируемый пост)
А может быть такая ситуация, что этот момент будет зависеть от пользователя? 

В целом - может. Но это несколько относительный момент и скорее зависит от настройки сервера, а пользователь тут посредственен.
$_SERVER['HTTP_HOST'] содержит домен/адрес/хост (называйте как удобнее), по которому к серверу был совершен запрос пользователем.
То есть, если вы введете localhost/index.php, то $_SERVER['HTTP_HOST'] == 'localhost', но запрос 127.0.0.1/index.php тоже корректен и при нем $_SERVER['HTTP_HOST'] == '127.0.0.1'. То есть, вроде бы, от пользователя зависит, но, тем не менее, и что очевидно, пользователь не попадет на сервер по любому запросу, который ему заблагорассудится ввести.

В переменной $_SERVER['HTTP_HOST'] может быть что-угодно из того, по чему можно выполнить запрос к серверу. А это IP, домен и алиасы (псевдонимы) домена. Обычно, в случае выделенного IP, прямой запрос на него автоматически переадресовывают на домен либо запрещают. Наверное, самый распространенный вариант при плохой настройке сервера - это возможность пользоваться сайтом как с www. в адресе, так и без него (ведь, обычно делается перманентный редирект на предпочитаемый вариант с оставшегося).

По большей части $_SERVER['HTTP_HOST'] зависит от сервера. Там может быть только тот хост, по которому сервер обработал запрос. Если такой хост один-единственный, то и значение данной переменной соответствующее.

Автор: MoLeX 28.2.2013, 05:33
http://habrahabr.ru/post/166855/

Добавлено через 1 минуту и 10 секунд
P.S. Золотое правило веба - не верь данным которые приходят от пользователя

Автор: maxipub 28.2.2013, 17:37
Цитата(MoLeX @  28.2.2013,  05:33 Найти цитируемый пост)
Золотое правило веба - не верь данным которые приходят от пользователя 

Это да, просто у меня были вопросы касательно как раз происхождения значения данной переменной.

Ок, теперь другое дело. Как посоветуете устроить защиту, если это публичный скрипт:

- т.е. возможности устроить проверку типа !in_array($_SERVER['HTTP_HOST'], $allowed_hosts) как бы нет;
- просить пользователей настраивать свои сервера соответствующим образом тоже не вариант.

?

Автор: Arantir 28.2.2013, 18:13
А вы скажите, что именно вы пытаетесь сделать этим: 
Цитата(maxipub @  26.2.2013,  13:14 Найти цитируемый пост)
Код
header('Location: https://'.$_SERVER['HTTP_HOST'].'/bla-bla-bla');
 с учетом необоснованного 
Цитата(maxipub @  26.2.2013,  13:14 Найти цитируемый пост)
вариант с относительными ссылками не предлагать


Цитата(maxipub @  28.2.2013,  16:37 Найти цитируемый пост)
Ок, теперь другое дело. Как посоветуете устроить защиту, если это публичный скрипт:

- т.е. возможности устроить проверку типа !in_array($_SERVER['HTTP_HOST'], $allowed_hosts) как бы нет;
Это на какую категорию пользователей такой скрипт рассчитан? На тех, кто даже не знает, чем *.php редактировать?

Вообще - не все возможно решить одним только "правильным" написанием скрипта. В обеспечении безопасности веб-ресурса правильная настройка сервера является неотъемлемой частью.

Если скрипт предназначен на один домен, то самый простой вариант - создать обычную константу. Она не будет зависеть ни от чего. А при потребности любым текстовым редактором скрипт можно изменить.

И, кстати, многие форумные движки и подобные продукты, которыми мне приходилось пользоваться, в настройках просто требуют указания домена сайта, и не пользуются всякими $_SERVER['HTTP_HOST']. Это я к тому, что многие "публичные скрипты" не выдумывают велосипед, а используют простой, но железный способ.

Автор: maxipub 28.2.2013, 18:32
Arantir, в скрипте есть места, где адрес относительным быть не может.


Цитата(Arantir @  28.2.2013,  18:13 Найти цитируемый пост)
И, кстати, многие форумные движки и подобные продукты, которыми мне приходилось пользоваться, в настройках просто требуют указания домена сайта, и не пользуются всякими $_SERVER['HTTP_HOST']. Это я к тому, что многие "публичные скрипты" не выдумывают велосипед, а используют простой, но железный способ.

Мне попадались движки без инсталла, где и конфига дефолтного нет, его надо самому писать по примеру, а установка базы - это ручной импорт из файла... И чё? smile

А если предполагается что конечный пользователь не знает даже что такое адресная строка? Или такой пользователь нам не пользователь? Да хоть админ матёрый, мне самому куда приятней дружественный и корректный инсталл, чем ковыряние в файлах - это оставим на потом, успеем, при необходимости... smile 

Автор: Arantir 28.2.2013, 18:55
Просто отфильтруйте непотребные символы, то есть все, кроме точек, дефисов и латинских букв. Тем, кто по телнету на сайт лезет, вряд ли корректные ссылки понадобятся... Если кто-то что-то и введет, то получит только левые переадрессации. 

А так, то кроме как сравнить к конкретным доменом, взятым извне, другого способа нет. Ведь если $_SERVER['HTTP_HOST'] - это единственный способ для вашего скрипта узнать домен, то как, по-вашему, он должен узнать, правильный ли этот домен?

Автор: maxipub 28.2.2013, 19:10
Arantir, наверное, так и поступлю.

Автор: krundetz 1.3.2013, 16:47
Цитата(Arantir @  27.2.2013,  16:31 Найти цитируемый пост)
$_SERVER['HTTP_HOST'] содержит домен/адрес/хост (называйте как удобнее), по которому к серверу был совершен запрос пользователем.

либо то что мы туда положим
Код

$_SERVER['HTTP_HOST'] = 'incorrect-domain.com ';

т.е. если скрипт будет использоваться одновременно с другими скриптами и в этих скриптах есть такого рода переопределение, то может вылезти ошибка ещё и из-за этого

Лучше вообще не использовать эту переменную при работе скрипта, а брать корректный домен из файла или таблицы с настройками, который в свою очередь создавать при установке скрипта.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)