为什么我必须调用“退出”？在 PHP 中通过 header('Location..') 重定向后？

Question

您知道，如果您想在 PHP 中重定向用户，您可以使用 header 函数：

header('Location: http://smowhere.com');

众所周知，在 header< 之后放置 exit; 也是一个很好的做法。 /code> 调用，以防止执行其他 php 代码。所以我的问题是： header-location 调用之后的代码能否有效执行？在哪些情况下？恶意用户能否完全忽略 header('Location..') 调用？如何？

Answer 1

标头位置调用之后的代码能否有效执行？

是的，总是如此。 header 只是一行要求浏览器重定向的数据。页面的其余部分仍将由 PHP 提供，并且客户端可以通过简单地阻止执行 header 命令来查看。

对于像 wget 这样的命令行客户端来说，这很容易做到，例如，只需告诉它不要遵循重定向即可。

底线：如果您不阻止它，即使在 header 调用之后，PHP 也会发送整个正文。该主体完全可供接收者使用，无需任何特殊的黑客技能。

Answer 2

如果您重定向但没有 die() / exit() 代码始终会执行并显示。

采取以下示例：

admin.php：

if (authenticationFails)
{
    // redirect and don't die
}

// show admin stuff

如果您不确保在位置标头之后结束执行，每个用户都将获得访问权限。

Answer 3

header() 指示 PHP 应发送 HTTP 标头...发送 HTTP 标头时。

当您编写对 header() 的调用时，这些不会立即发送，而是当需要发送它们时（通常，当 PHP 需要开始发送响应正文时——这可能比您想象的要晚，当启用output_buffering时）。

因此，如果您只调用 header()，则绝对不能保证不会执行此语句之后编写的代码 - 除非您通过使用 exit/<代码>死亡。

如果用户愿意，可以忽略 Location 标头；但它不会改变任何事实，即调用 header() 之后的代码可能会也可能不会被执行：那是服务器端的问题。

Answer 4

header() 之后的 PHP 代码将被运行。有时，这是必需的，如 php.net 上的 示例 所示。为了确保不是这样，您需要完全结束程序流程。

Answer 5

如果没有退出调用，脚本终止的确切点/时间将取决于两个因素：

1. 客户端浏览器对重定向做出反应的速度
2. 执行脚本其余部分所需的时间。

假设浏览器在看到 Location 标头通过时立即启动重定向操作。这意味着它将关闭重定向来源的连接，以便它可以开始连接到新位置。这通常意味着 Web 服务器将终止重定向脚本。无论标头从服务器 -> 客户端发送以及 TCP 链接关闭过程从客户端 -> 服务器发送所需的时间，都是脚本可以继续运行的时间量。

Answer 6

re: header-location 调用之后的代码可以有效执行吗？

可以，如果你不关闭脚本。

回复：在哪些情况下？

在每种情况下。

恶意用户能否完全忽略 header('Location..') 调用？

不，用户在此事上没有发言权。