পিএইচপি $ _SERVER ['HTTP_HOST'] বনাম $ _SERVER ['SERVER_NAME'], আমি কি ম্যান পেজগুলি সঠিকভাবে বুঝতে পারি?

আমি প্রচুর অনুসন্ধান করেছি এবং পিএইচপি $ _SERVER ডকসও পড়েছি । আমার পিএইচপি স্ক্রিপ্টগুলির জন্য আমার সাইটের জুড়ে সরল লিঙ্ক সংজ্ঞাগুলির জন্য কোনটি ব্যবহার করবেন সে সম্পর্কে আমার কি অধিকার আছে?

$_SERVER['SERVER_NAME'] আপনার ওয়েব সার্ভারের কনফিগারেশন ফাইলের উপর ভিত্তি করে (আমার ক্ষেত্রে অ্যাপাচি 2), এবং কয়েকটি নির্দেশের উপর নির্ভর করে পরিবর্তিত হয়: (1) ভার্চুয়ালহস্ট, (2) সার্ভারনাম, (3) ইউজক্যানোনিক্যালনাম, ইত্যাদি

$_SERVER['HTTP_HOST'] ক্লায়েন্টের অনুরোধের ভিত্তিতে তৈরি।

সুতরাং, আমার কাছে মনে হবে যে আমার স্ক্রিপ্টগুলিকে যথাসম্ভব সামঞ্জস্যপূর্ণ করার জন্য যথাযথ ব্যবহার করা উচিত $_SERVER['HTTP_HOST']। এই ধারণাটি কি সঠিক?

ফলোআপ মন্তব্য:

আমি অনুমান করি যে এই নিবন্ধটি পড়ার পরে এবং কিছু লোকেরা "তারা কোনও $_SERVERযুদ্ধকে বিশ্বাস করবে না" বলে উল্লেখ করার পরে আমি কিছুটা ভৌতিক হয়ে পড়েছি :

• http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/

• http://php.net/manual/en/remitted.variables.server.php#89567 (মন্তব্য: ভ্লাদিমির কর্নিয়া 14-মার্চ -2009 01:06)

স্পষ্টতই আলোচনাটি মূলত এ নিয়েই $_SERVER['PHP_SELF'] এবং কেন আপনি এক্সএসএস আক্রমণ রোধ করতে যথাযথভাবে পালানো ছাড়াই ফর্ম ক্রিয়া বৈশিষ্ট্যে এটি ব্যবহার করবেন না।

উপরে আমার মূল প্রশ্ন সম্পর্কে আমার উপসংহারটি এটি ব্যবহার করা "নিরাপদ" $_SERVER['HTTP_HOST'] XSS আক্রমণ সম্পর্কে চিন্তা না করে কোনও সাইটের সমস্ত লিঙ্কের জন্য , এমনকি ফর্মগুলিতে ব্যবহৃত হলেও।

আমি ভুল হলে আমাকে সংশোধন করুন।

এটাই সম্ভবত সবার প্রথম চিন্তা। তবে এটি কিছুটা বেশি কঠিন। দেখুন ক্রিস Shiflett এর নিবন্ধ SERVER_NAMEভার্সেসHTTP_HOST ।

দেখে মনে হচ্ছে সিলভার বুলেট নেই। কেবলমাত্র যখন আপনি আপাচে ক্যানোনিকাল নামটি ব্যবহার করতে বাধ্য করেন তবেই আপনি সর্বদা সঠিক সার্ভারের নামটি পাবেন SERVER_NAME।

সুতরাং আপনি হয় সেই সাথে যান বা হোস্টের নামটি একটি সাদা তালিকার বিপরীতে পরীক্ষা করে দেখুন:

$allowed_hosts = array('foo.example.com', 'bar.example.com');
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) {
    header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
    exit;
}

কেবলমাত্র একটি অতিরিক্ত নোট - যদি সার্ভারটি 80 এর বাইরে অন্য কোনও বন্দরে চালিত হয় (যেমনটি কোনও বিকাশ / ইন্ট্রানেট মেশিনে সাধারণ হিসাবে দেখা যায়) তবে HTTP_HOSTপোর্টটি অন্তর্ভুক্ত রয়েছে, যখন SERVER_NAMEতা নেই।

$_SERVER['HTTP_HOST'] == 'localhost:8080'
$_SERVER['SERVER_NAME'] == 'localhost'

(অ্যাপাচি পোর্ট-ভিত্তিক ভার্চুয়ালহোস্টগুলিতে আমি এটি লক্ষ্য করেছি)

মাইক নিচে উল্লেখ করা হয়েছে, HTTP_HOSTনেই না থাকতে :443যখন HTTPS দ্বারা চলমান (যদি না আপনি একটি অ-মানক পোর্ট, যা আমি পরীক্ষিত না উপর চালাচ্ছেন)।

হয় ব্যবহার করুন। এগুলি উভয়ই সমানভাবে (ইন) সুরক্ষিত, যেমন অনেক ক্ষেত্রেই SERVER_NAME কেবলমাত্র HTTP_HOST থেকে জনবহুল। আমি সাধারণত HTTP_HOST এর জন্য যাই, যাতে ব্যবহারকারীরা ঠিক যে হোস্ট নামটি শুরু করেছিলেন তার উপর থেকে যায়। উদাহরণস্বরূপ যদি আমার .com এবং .org ডোমেইনে একই সাইট থাকে তবে আমি .org থেকে .com এ কাউকে পাঠাতে চাই না, বিশেষত যদি তারা .org এ লগইন টোকেন থাকতে পারে তবে তারা হারাতে চাইবে যদি প্রেরণ করা হয় তবে অন্য ডোমেন।

যেভাবেই হোক, আপনার কেবল নিশ্চিত হওয়া দরকার যে আপনার ওয়েব অ্যাপ্লিকেশন কেবল পরিচিত-ভাল ডোমেনের জন্য প্রতিক্রিয়া জানাবে। এটি হয় (ক) গাম্বোর মতো অ্যাপ্লিকেশন সাইড চেক সহ, বা (খ) আপনি যে ডোমেন নাম (গুলি) ব্যবহার করতে চান তাতে কোনও ভার্চুয়াল হোস্ট ব্যবহার করে এটি করা যেতে পারে যা সাড়া দেয় না অজানা হোস্ট শিরোনামের অনুরোধগুলির ।

এর কারণ হ'ল যদি আপনি আপনার সাইটটিকে কোনও পুরানো নামের অধীনে অ্যাক্সেস করার অনুমতি দেন তবে আপনি নিজেকে ডিএনএস রিবাইন্ডিং আক্রমণগুলিতে উন্মুক্ত রাখেন (যেখানে অন্য সাইটের হোস্টনাম আপনার আইপিটিতে নির্দেশ করে, কোনও ব্যবহারকারী আক্রমণকারীর হোস্টনামের সাহায্যে আপনার সাইট অ্যাক্সেস করে, তারপরে হোস্টনাম আক্রমণকারীদের আইপি-তে স্থানান্তরিত হয়, এটির সাথে আপনার কুকিজ / প্রমাণকে নিয়ে) এবং অনুসন্ধান ইঞ্জিন হাইজ্যাকিং (যেখানে কোনও আক্রমণকারী আপনার সাইটে তাদের নিজস্ব হোস্টনামটি নির্দেশ করে এবং অনুসন্ধান ইঞ্জিনগুলিকে এটি 'সেরা' প্রাথমিক হোস্টনাম হিসাবে দেখায়)।

স্পষ্টতই আলোচনাটি মূলত $ _SERVER ['পিএইচপিএসএসএলএফ'] সম্পর্কে এবং এক্সএসএস আক্রমণ রোধ করতে যথাযথভাবে পালানো ছাড়াই আপনি কেন ফর্ম ক্রিয়া বৈশিষ্ট্যে এটি ব্যবহার করবেন না।

Pfft। আচ্ছা আপনি ব্যবহার করা উচিত নয় কিছু মধ্যে কোনো সঙ্গে পলায়নের ছাড়া অ্যাট্রিবিউট htmlspecialchars($string, ENT_QUOTES), তাই আছে সেখানে সার্ভার ভেরিয়েবল সম্পর্কে কিছুই বিশেষ।

এটি হোস্টের নাম পেতে সিমফনি যা ব্যবহার করে তার একটি ভারবজিক অনুবাদ ( আরও আক্ষরিক অনুবাদের জন্য দ্বিতীয় উদাহরণ দেখুন ):

function getHost() {
    $possibleHostSources = array('HTTP_X_FORWARDED_HOST', 'HTTP_HOST', 'SERVER_NAME', 'SERVER_ADDR');
    $sourceTransformations = array(
        "HTTP_X_FORWARDED_HOST" => function($value) {
            $elements = explode(',', $value);
            return trim(end($elements));
        }
    );
    $host = '';
    foreach ($possibleHostSources as $source)
    {
        if (!empty($host)) break;
        if (empty($_SERVER[$source])) continue;
        $host = $_SERVER[$source];
        if (array_key_exists($source, $sourceTransformations))
        {
            $host = $sourceTransformations[$source]($host);
        } 
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

সেকেলে:

সিমফনি ফ্রেমওয়ার্কে ব্যবহৃত এমন পদ্ধতির বেয়ার পিএইচপিতে এটি আমার অনুবাদ যা সর্বোত্তম অনুশীলনের ক্রমানুসারে হোস্টনামকে সম্ভাব্য প্রতিটি উপায়ে থেকে পেতে চেষ্টা করে:

function get_host() {
    if ($host = $_SERVER['HTTP_X_FORWARDED_HOST'])
    {
        $elements = explode(',', $host);

        $host = trim(end($elements));
    }
    else
    {
        if (!$host = $_SERVER['HTTP_HOST'])
        {
            if (!$host = $_SERVER['SERVER_NAME'])
            {
                $host = !empty($_SERVER['SERVER_ADDR']) ? $_SERVER['SERVER_ADDR'] : '';
            }
        }
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

$_SERVER['HTTP_HOST']ফর্ম ব্যবহার করার পরেও, এক্সএসএস আক্রমণ সম্পর্কে চিন্তা না করে কোনও সাইটে সমস্ত লিঙ্ক ব্যবহার করা কি "নিরাপদ" ?

হ্যাঁ, এটি ব্যবহার করা নিরাপদ$_SERVER['HTTP_HOST'] , (এবং এমনকি $_GETএবং $_POST) দীর্ঘ আপনি তাদের যাচাই হিসাবে হিসাবে তাদের স্বীকার করার আগে। সুরক্ষিত উত্পাদন সার্ভারগুলির জন্য এটি আমি করি:

/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
$reject_request = true;
if(array_key_exists('HTTP_HOST', $_SERVER)){
    $host_name = $_SERVER['HTTP_HOST'];
    // [ need to cater for `host:port` since some "buggy" SAPI(s) have been known to return the port too, see http://goo.gl/bFrbCO
    $strpos = strpos($host_name, ':');
    if($strpos !== false){
        $host_name = substr($host_name, $strpos);
    }
    // ]
    // [ for dynamic verification, replace this chunk with db/file/curl queries
    $reject_request = !array_key_exists($host_name, array(
        'a.com' => null,
        'a.a.com' => null,
        'b.com' => null,
        'b.b.com' => null
    ));
    // ]
}
if($reject_request){
    // log errors
    // display errors (optional)
    exit;
}
/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
echo 'Hello World!';
// ...

এর সুবিধাটি $_SERVER['HTTP_HOST']হ'ল এর আচরণটি তুলনায় আরও বেশি সংজ্ঞায়িত$_SERVER['SERVER_NAME'] । তুলনা ➫➫ :

হোস্টের বিষয়বস্তু: বর্তমান অনুরোধ থেকে শিরোনাম, যদি সেখানে থাকে।

সঙ্গে:

বর্তমান স্ক্রিপ্টটি চালাচ্ছে এমন সার্ভার হোস্টের নাম।

আরও ভাল সংজ্ঞায়িত ইন্টারফেস ব্যবহার করার $_SERVER['HTTP_HOST']অর্থ আরও বেশি এসএপিআই নির্ভরযোগ্য সু-সংজ্ঞায়িত আচরণ ব্যবহার করে এটি বাস্তবায়ন করবে । (ভিন্ন অন্যান্য ।) যাইহোক, এটা এখনও সম্পূর্ণভাবে SAPI নির্ভরশীল ➫➫ :

এখানে কোনও গ্যারান্টি নেই যে প্রতিটি ওয়েব সার্ভার এগুলির [ $_SERVERএনট্রি] কোনও সরবরাহ করবে ; সার্ভারগুলি কিছু বাদ দিতে পারে বা অন্যকে এখানে তালিকাভুক্ত নয় provide

হোস্টের নামটি কীভাবে পুনরুদ্ধার করবেন তা বোঝার জন্য, প্রথম এবং সর্বাগ্রে আপনার বুঝতে হবে যে যে সার্ভারটিতে কেবল কোড রয়েছে তার নেটওয়ার্কে নিজের নাম জানার (যাচাই করার প্রাক-প্রয়োজনীয়তা) কোনও উপায় নেই । এটিকে এমন একটি উপাদান দিয়ে ইন্টারফেস করা দরকার যা এটির নিজের নাম সরবরাহ করে। এটি এর মাধ্যমে করা যেতে পারে:

• স্থানীয় কনফিগারেশন ফাইল

• স্থানীয় ডাটাবেস

• হার্ডকোডযুক্ত উত্স কোড

• বাহ্যিক অনুরোধ ( কার্ল )

• ক্লায়েন্ট / আক্রমণকারীর Host:অনুরোধ

• ইত্যাদি

সাধারণত এটি স্থানীয় (SAPI) কনফিগার ফাইলের মাধ্যমে সম্পন্ন হয়। মনে রাখবেন আপনি এটিকে সঠিকভাবে কনফিগার করেছেন, যেমন অ্যাপাচি ➫➫ ➫➫ :

গতিশীল ভার্চুয়াল হোস্টটিকে সাধারণের মতো দেখতে কিছু জিনিস 'নকল' হওয়া দরকার।

সর্বাধিক গুরুত্বপূর্ণ হ'ল সার্ভারের নাম যা আপাচি দ্বারা স্ব-রেফারেন্সিয়াল ইউআরএল তৈরি করতে ব্যবহৃত হয়, ইত্যাদি এটি কনফিগার করা আছে ServerName নির্দেশের এবং এটি সিজিআই-র মাধ্যমে উপলব্ধ isSERVER_NAME পরিবেশ পরিবর্তনশীলের ।

রান সময় ব্যবহৃত প্রকৃত মান ইউজকনোনিক্যালনাম সেটিং দ্বারা নিয়ন্ত্রিত হয় ।

UseCanonicalName Offসার্ভারের সাথেHost: অনুরোধের শিরোনামের সামগ্রীগুলি থেকে নাম আসে name এটির সাথে UseCanonicalName DNS ভার্চুয়াল হোস্টের আইপি ঠিকানার বিপরীত ডিএনএস লুকআপ আসে। পূর্ববর্তী সেটিংসটি নাম ভিত্তিক গতিশীল ভার্চুয়াল হোস্টিংয়ের জন্য ব্যবহৃত হয় এবং পরবর্তীটিটি ** আইপি-ভিত্তিক হোস্টিংয়ের জন্য ব্যবহৃত হয়।

Host:শিরোনাম না থাকায় বা যদি ডিএনএস লুকআপ ব্যর্থ হয় তবে অ্যাপাচি যদি সার্ভার নামটি কাজ করতে না পারে তবেServerName পরিবর্তে কনফিগার করা মানটি ব্যবহার করা হবে।

উভয়ের মধ্যে প্রধান পার্থক্য $_SERVER['SERVER_NAME']হ'ল একটি সার্ভার নিয়ন্ত্রিত চলক, যখন while$_SERVER['HTTP_HOST'] একটি ব্যবহারকারী নিয়ন্ত্রিত মান।

থাম্বের বিধিটি হ'ল কখনও কখনও ব্যবহারকারীর কাছ থেকে মানগুলিকে বিশ্বাস করা উচিত $_SERVER['SERVER_NAME'] আরও ভাল পছন্দ।

গম্বো যেমন উল্লেখ করেছে, আপনি সেট না করা থাকলে অ্যাপাচি ব্যবহারকারী সরবরাহিত মান থেকে SERVER_NAME তৈরি করবে UseCanonicalName On ।

সম্পাদনা: সমস্ত কিছু বলা সত্ত্বেও, যদি সাইটটি কোনও নাম ভিত্তিক ভার্চুয়াল হোস্ট ব্যবহার করে, তবে HTTP হোস্ট শিরোনামই সেই সাইটগুলিতে পৌঁছানোর একমাত্র উপায় যা ডিফল্ট সাইট নয়।

আমি নিশ্চিত এবং সত্যই বিশ্বাস $_SERVER['HTTP_HOST']করি না কারণ এটি ক্লায়েন্টের শিরোনামের উপর নির্ভর করে। অন্য উপায়ে, যদি ক্লায়েন্টের দ্বারা অনুরোধ করা কোনও ডোমেন আমার না হয় তবে তারা আমার সাইটে পাবে না কারণ ডিএনএস এবং টিসিপি / আইপি প্রোটোকল এটিকে সঠিক গন্তব্যে দেখায়। তবে আমি জানি না ডিএনএস, নেটওয়ার্ক বা এমনকি অ্যাপাচি সার্ভার হাইজ্যাক করা সম্ভব কিনা। নিরাপদ থাকতে, আমি পরিবেশে হোস্টের নামটি সংজ্ঞায়িত করি এবং এর সাথে তুলনা করি $_SERVER['HTTP_HOST']।

যোগ SetEnv MyHost domain.com.htaccess ফাইল শিকড় এবং Common.php মধ্যে ths কোড যোগ

if (getenv('MyHost')!=$_SERVER['HTTP_HOST']) {
  header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
  exit();
}

আমি এই পিএইচপি পৃষ্ঠায় এই কমন.এফপি ফাইলটি অন্তর্ভুক্ত করি। এই পৃষ্ঠায় প্রতিটি অনুরোধের জন্য প্রয়োজনীয় কিছু করছে যেমন session_start()সেশন কুকি সংশোধন করুন এবং পোস্ট পদ্ধতিটি যদি অন্য ডোমেন থেকে আসে তবে তা প্রত্যাখ্যান করুন।

XSSসবসময় থাকবে এমনকি যদি আপনি ব্যবহার $_SERVER['HTTP_HOST'], $_SERVER['SERVER_NAME']বা$_SERVER['PHP_SELF']

প্রথমে আমি সমস্ত ভাল উত্তর এবং ব্যাখ্যার জন্য আপনাকে ধন্যবাদ জানাতে চাই। বেস ইউআরএল পাওয়ার জন্য আপনার সমস্ত উত্তরের উপর ভিত্তি করেই আমি এই পদ্ধতিটি তৈরি করেছি। আমি কেবল এটি খুব বিরল পরিস্থিতিতে ব্যবহার করি। সুতরাং এক্সএসএস আক্রমণগুলির মতো সুরক্ষা ইস্যুগুলিতে কোনও বড় ফোকাস নেই। কারও প্রয়োজন হতে পারে।

// Get base url
function getBaseUrl($array=false) {
    $protocol = "";
    $host = "";
    $port = "";
    $dir = "";  

    // Get protocol
    if(array_key_exists("HTTPS", $_SERVER) && $_SERVER["HTTPS"] != "") {
        if($_SERVER["HTTPS"] == "on") { $protocol = "https"; }
        else { $protocol = "http"; }
    } elseif(array_key_exists("REQUEST_SCHEME", $_SERVER) && $_SERVER["REQUEST_SCHEME"] != "") { $protocol = $_SERVER["REQUEST_SCHEME"]; }

    // Get host
    if(array_key_exists("HTTP_X_FORWARDED_HOST", $_SERVER) && $_SERVER["HTTP_X_FORWARDED_HOST"] != "") { $host = trim(end(explode(',', $_SERVER["HTTP_X_FORWARDED_HOST"]))); }
    elseif(array_key_exists("SERVER_NAME", $_SERVER) && $_SERVER["SERVER_NAME"] != "") { $host = $_SERVER["SERVER_NAME"]; }
    elseif(array_key_exists("HTTP_HOST", $_SERVER) && $_SERVER["HTTP_HOST"] != "") { $host = $_SERVER["HTTP_HOST"]; }
    elseif(array_key_exists("SERVER_ADDR", $_SERVER) && $_SERVER["SERVER_ADDR"] != "") { $host = $_SERVER["SERVER_ADDR"]; }
    //elseif(array_key_exists("SSL_TLS_SNI", $_SERVER) && $_SERVER["SSL_TLS_SNI"] != "") { $host = $_SERVER["SSL_TLS_SNI"]; }

    // Get port
    if(array_key_exists("SERVER_PORT", $_SERVER) && $_SERVER["SERVER_PORT"] != "") { $port = $_SERVER["SERVER_PORT"]; }
    elseif(stripos($host, ":") !== false) { $port = substr($host, (stripos($host, ":")+1)); }
    // Remove port from host
    $host = preg_replace("/:\d+$/", "", $host);

    // Get dir
    if(array_key_exists("SCRIPT_NAME", $_SERVER) && $_SERVER["SCRIPT_NAME"] != "") { $dir = $_SERVER["SCRIPT_NAME"]; }
    elseif(array_key_exists("PHP_SELF", $_SERVER) && $_SERVER["PHP_SELF"] != "") { $dir = $_SERVER["PHP_SELF"]; }
    elseif(array_key_exists("REQUEST_URI", $_SERVER) && $_SERVER["REQUEST_URI"] != "") { $dir = $_SERVER["REQUEST_URI"]; }
    // Shorten to main dir
    if(stripos($dir, "/") !== false) { $dir = substr($dir, 0, (strripos($dir, "/")+1)); }

    // Create return value
    if(!$array) {
        if($port == "80" || $port == "443" || $port == "") { $port = ""; }
        else { $port = ":".$port; } 
        return htmlspecialchars($protocol."://".$host.$port.$dir, ENT_QUOTES); 
    } else { return ["protocol" => $protocol, "host" => $host, "port" => $port, "dir" => $dir]; }
}