我有一个充满网站网址的数据库,主要关键是$_SERVER["HTTP_HOST"]网站的.
当用户导航到...时,可以说www.my-epic-example-url.com,它将连接数据库并使用该$_SERVER["HTTP_HOST"]网站,然后获取引用该网站的所有数据!
我想知道的是,安全性如何$_SERVER["HTTP_HOST"]?
可以外部修改吗?
我问的唯一原因是因为我读了一段时间的艺术品(不记得它在哪里)说使用$ _SERVER时要小心,因为它不安全......
这是真的?
dec*_*eze 17
$_SERVER["HTTP_HOST"]是Host从客户端发送的HTTP 标头.这使得这个标题通常不安全.
但是,如果你是在一个典型的虚拟主机设置在网络服务器决定基于虚拟主机的配置,而这又是通过HTTP触发执行该脚本Host头,你的脚本应该不会得到除非收到一个已知的,白名单值执行在那个标题中.
如果Web服务器不关心Host标头并为任何和所有请求执行某个脚本,那么这个值可能绝对是任何东西.