我可以信任 $_SERVER['SERVER_NAME'] 变量的内容吗？

Question

我使用通配符子域为每个用户提供一个页面 username.domain.com。

用户名本身在注册时经过适当的清理。

为了简化此问题的目的，假设我有一个针对所有请求运行的 PHP 脚本。它使用...获取域组件

$domain_components = explode( '.', $_SERVER['SERVER_NAME'] );

，然后弹出 tld、主域和子域。

问题是，我是否需要将 $_SERVER['SERVER_NAME'] 变量的内容（特别是域组件）视为潜在敌对内容？直觉上，我认为不会，因为在到达我的代码之前，PHP 和 Apache 必须做得尽可能好（并且 这个答案似乎证实了这一点，因为该变量受服务器控制），但我想确保我没有忽略任何内容。

您是否知道通过 $_SERVER['SERVER_NAME'] 进行的任何已知攻击？

（我使用的是 PHP 5.3.9 和 Apache 2.2.3。）

Answer 1

http://shiflett.org/blog/2006/mar/server -name-versus-http-host

似乎存在一些风险，尽管该帖子很旧，但还是有一些提示。在查询中使用该变量（已清理/转义！）来查找正确的用户，如果可行，则接受它，这可能并没有错。在那之后，您不再需要它，因此只需使用您的内部数据。

Answer 2

我的理解是 $_SERVER 变量是由服务器构造的 - 因此外部浏览器不能影响其内容，除非您的服务器受到损害。如果是这种情况，那么 $_SERVER 的内容是您最不用担心的。

编辑

我打算添加除了那些采用$_SERVER['HTTP...]形式的内容。

Answer 3

您可以通过以下方式信任它设置的 SERVER_NAME：

<VirtualHost *>
ServerName server.domain.com
ServerAlias server server2.domain.com server2
# ...
</VirtualHost>