У Вас в браузере заблокирован JavaScript. Разрешите JavaScript для работы сайта!
Суперглобальный массив $_SERVER
В массив $_SERVER PHP-интерпретатор помещает переменные, полученные от сервера. Без данных переменных сложно организовать полноценную поддержку Web-приложений. Ниже приводится описание наиболее важных элементов суперглобального массива $_SERVER .
Замечание
Array ( => on => 200 => on => htmlweb.ru => https => 443 => close => Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) => */* => beget=begetok; => gzip,deflate => /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin => => Apache/2.4.25 (Debian) mpm-itk/2.4.7-04 OpenSSL/1.0.2l => htmlweb.ru => 185.12.92.137 => 80 => 144.76.78.4 => /var/www/htmlweb/data/www/htmlweb.ru => http => => /var/www/htmlweb/data/www/htmlweb.ru => [email protected] =>.php => 35242 => /php/function/$_server.php => CGI/1.1 => HTTP/1.0 => GET => => /php/function/%24_server.php => /index.php => /index.php => 1560059525.711 => 1560059525) 1
$_SERVER["DOCUMENT_ROOT "]
Элемент $_SERVER["DOCUMENT_ROOT"] содержит путь к корневой директории сервера, если скрипт выполняется в виртуальном хосте, в данном элементе указывается путь к корневой директории виртуального хоста. Т.е. в конфигурационном файле httpd.conf виртуальный хост имеет директиву DocumentRoot, которой присвоено значение "D:/main", элемент $_SERVER["DOCUMENT_ROOT"] будет содержать значение "D:main".
$_SERVER["REMOTE_ADDR "]
В элемент $_SERVER["REMOTE_ADDR"] помещается IP-адрес клиента. При тестировании на локальной машине - этот адрес будет равен 127.0.0.1. Однако при тестировании в сети переменная вернёт IP-адрес клиента или последнего прокси-сервера через который клиент попал на сервер. Если клиент использует прокси-сервер узнать его IP-адрес можно при помощи переменной окружения HTTP_X_FORWARDED_FOR, значение которой можно получить при помощи функции getenv().
Замечание
Прокси-сервера являются специальными промежуточными серверами, предоставляющими специальный вид услуг: сжатие трафика, кодирование данных, адаптация под мобильные устройства и т.п. Среди множества прокси-серверов различают так называемые анонимные прокси-сервера, которые позволяют скрывать истинный IP-адрес клиента, такие сервера не возвращают переменной окружения HTTP_X_FORWARDED_FOR.
Извлечение переменной окружения HTTP_X_FORWARDED_FOR
echo @getenv(HTTP_X_FORWARDED_FOR);
$_SERVER["SCRIPT_FILENAME "]
В элемент $_SERVER["SCRIPT_FILENAME"] помещается абсолютный путь к файлу от корня диска. Так, если сервер работает под управлением операционной системы Windows, то такой путь может выглядеть следующим образом "d:main estindex.php", т.е. путь указывается от диска, в UNIX-подобной операционной системы путь указывается от корневой директории /, например "/var/share/www/test/index.php".
/var/www/htmlweb/data/www/сайт/index.php
$_SERVER["SERVER_NAME "]
В элемент $_SERVER["SERVER_NAME"] помещается имя сервера, как правило, совпадающее с доменным именем сайта, расположенного на нём. Например,
Содержимое элемента $_SERVER["SERVER_NAME"] часто совпадает с содержимым элемента $_SERVER["HTTP_HOST"]. Помимо имени сервера суперглобальный массив $_SERVER позволяет выяснить ещё ряд параметров сервера, например IP-адрес сервера, прослушиваемый порт, какой Web-сервер установлен и версию HTTP протокола. Эта информация помещается в элементы $_SERVER["SERVER_ADDR"], $_SERVER["SERVER_PORT"], $_SERVER["SERVER_SOFTWARE"] и $_SERVER["SERVER_PROTOCOL"], соответственно. Ниже приводится пример с использованием данных элементов.
Использование элементов массива $_SERVER
echo "Имя сервера - ".$_SERVER["SERVER_NAME"].""; echo "IP-адрес сервера - ".$_SERVER["SERVER_ADDR"]."
"; echo "Порт сервера - ".$_SERVER["SERVER_PORT"]."
"; echo "Web-сервер - ".$_SERVER["SERVER_SOFTWARE"]."
"; echo "Версия HTTP-протокола - ".$_SERVER["SERVER_PROTOCOL"]."
";
Имя сервера - сайт
IP-адрес сервера - 185.12.92.137
Порт сервера - 80
Web-сервер - Apache/2.4.25 (Debian) mpm-itk/2.4.7-04 OpenSSL/1.0.2l
Версия HTTP-протокола - HTTP/1.0
$_SERVER["REQUEST_METHOD "]
В элемент $_SERVER["REQUEST_METHOD"] помещается метод запроса, который применяется для вызова скрипта: GET или POST.
Echo $_SERVER["REQUEST_METHOD"];
$_SERVER["QUERY_STRING "]
В элемент $_SERVER["QUERY_STRING"] заносятся параметры, переданные скрипту, если строка запроса представляет собой адрес
Например при обращении к:
в элемент $_SERVER["QUERY_STRING"] попадёт весь текст после знака "?":
Echo $_SERVER["QUERY_STRING"];
id=1&test=wet&id_theme=512
$_SERVER["PHP_SELF "]
В элемент $_SERVER["PHP_SELF"] помещается имя скрипта, начиная от корневой директории виртуального хоста, т.е. если строка запроса представляет собой адрес http://www.mysite.ru/test/index.php?id=1&test=wet&id_theme=512 то элемент $_SERVER["PHP_SELF"] будет содержать фрагмент "/test/index.php" . Как правило, этот же фрагмент помещается в элемент $_SERVER["SCRIPT_NAME"].
$_SERVER["REQUEST_URI "]
В элемент $_SERVER["REQUEST_URI"] содержит имя скрипта, начиная от корневой директории виртуального хоста и параметры, т.е. если строка запроса представляет собой адрес: http://www.mysite.ru/test/index.php?id=1&test=wet&id_theme=512 то элемент $_SERVER["REQUEST_URI"] будет содержать фрагмент "/test/index.php?id=1&test=wet&id_theme=512" . Для того, чтобы восстановить в скрипте полный адрес, который помещён в строке запроса, достаточно использовать комбинацию элементов массива $_SERVER, представленную ниже
Полный адрес к скрипту
echo "http://".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];И именно это клиент фактически использовал как "целевой хост" запроса. SERVER_NAME определяется в конфигурации сервера. Какой из них зависит от того, для чего вам это нужно. Теперь вы должны понимать, что это контролируемое клиентом значение, которое, таким образом, не может быть надежным для использования в бизнес-логике, а другое является контролируемым сервером значением, которое является более надежным. Тем не менее вам необходимо убедиться, что веб-сервер имеет правильную конфигурацию SERVER_NAME . Взяв Apache HTTPD в качестве примера, здесь выдержка из ее документации :
Если не указано ServerName , тогда сервер пытается вывести имя хоста, выполнив обратный поиск по IP-адресу. Если ни один порт не указан в ServerName , тогда сервер будет использовать порт из входящего запроса. Для обеспечения оптимальной надежности и предсказуемости вы должны указать явное имя хоста и порт с помощью директивы ServerName .
Обновить : после проверки ответа Pekka на ваш вопрос , который содержит ссылку на bobince answer , что PHP всегда будет возвращать значение HTTP_HOST для SERVER_NAME , что противоречит моему собственному опыту PHP 4.x + Apache HTTPD 1.2.x с пару лет назад, я взорвал пыль от моего текущего XAMPP в Windows XP (Apache HTTPD 2.2.1 с PHP 5.2.8), запустил его, создал страницу PHP, которая печатает оба значения, создала тестовое приложение Java, используя URLConnection , чтобы изменить заголовок Host , и тесты научили меня, что это действительно (неверно) случай.
После первого подозрения PHP и копания в некоторых отчетах об ошибках PHP в отношении предмета, я узнал, что корень проблемы находится на используемом веб-сервере, что он неправильно возвратил заголовок HTTP Host , когда была запрошена SERVER_NAME . Таким образом, я перекопал в отчеты об ошибках Apache HTTPD , используя различные ключевые слова относительно субъект, и я наконец нашел связанную ошибку . Это поведение было введено, так как вокруг Apache HTTPD 1.3. Вам нужно установить UseCanonicalName директиву on в записи
Это сработало для меня.
Обобщенный, SERVER_NAME более надежный, но вы зависимый в конфигурации сервера!
HTTP_HOST - целевой хост, отправленный клиентом. Пользователь может свободно манипулировать пользователем. Не нужно посылать запрос на ваш сайт с запросом HTTP_HOST значения www.stackoverflow.com .
SERVER_NAME исходит из определения сервера VirtualHost и поэтому считается более надежным. Его также можно манипулировать извне при определенных условиях, связанных с настройкой вашего веб-сервера. См. Этот Этот вопрос SO , который касается аспектов безопасности обоих вариантов.
Вы не должны полагаться на то, чтобы быть в безопасности. Тем не менее, что использовать, действительно зависит от того, что вы хотите сделать. Если вы хотите определить, в каком домене работает ваш script, вы можете безопасно использовать HTTP_HOST , пока недопустимые значения, поступающие от злоумышленника, не могут ничего сломать.
Обратите внимание, что если вы хотите использовать IPv6, вы, вероятно, захотите использовать HTTP_HOST , а не SERVER_NAME . Если вы введете http://[::1]/ , переменные среды будут следующими:
HTTP_HOST = [::1] SERVER_NAME = ::1
Это означает, что если вы делаете mod_rewrite, например, вы можете получить неприятный результат. Пример перенаправления SSL:
# SERVER_NAME will NOT work - Redirection to https://::1/ RewriteRule .* https://%{SERVER_NAME}/ # HTTP_HOST will work - Redirection to https://[::1]/ RewriteRule .* https://%{HTTP_HOST}/
Это относится ТОЛЬКО, если вы обращаетесь к серверу без имени хоста.
если вы хотите проверить через server.php или что вы хотите вызвать со следующим:
Затем получите доступ ко всем действительным URL-адресам для вашего сайта и проверьте разницу.
Мне потребовалось некоторое время, чтобы понять, что люди подразумевают под " SERVER_NAME более надежным". Я использую общий сервер и не имею доступа к директивам виртуального хоста. Итак, я использую mod_rewrite в.htaccess для сопоставления различных HTTP_HOST в разных каталогах. В этом случае это значение HTTP_HOST имеет смысл.
Ситуация аналогична, если вы используете виртуальные хосты на основе имен: директива ServerName внутри виртуального хоста просто говорит, какое имя хоста будет сопоставлено этому виртуальному хосту. Суть в том, что в обоих случаях имя хоста, предоставленное клиентом во время запроса (HTTP_HOST), должно совпадать с именем на сервере, которое само отображается в каталог. Независимо от того, выполняется ли сопоставление с директивами виртуального хоста или с правилами htaccess mod_rewrite, здесь вторично. В этих случаях HTTP_HOST будет таким же, как SERVER_NAME . Я рад, что Apache настроен таким образом.
Однако ситуация отличается от виртуальных хостов на базе IP. В этом случае и только в этом случае SERVER_NAME и HTTP_HOST могут быть разными, потому что теперь клиент выбирает сервер по IP, а не по имени. Действительно, могут быть специальные конфигурации, где это важно.
Итак, начиная с этого момента, я буду использовать SERVER_NAME , на случай, если мой код будет перенесен в эти специальные конфигурации.
Предполагая, что у вас есть простая настройка (CentOS 7, Apache 2.4.x и PHP 5.6.20) и только один веб-сайт (не предполагающий виртуальный хостинг)...
В смысле PHP $_SERVER["SERVER_NAME"] - это элемент PHP, зарегистрированный в суперкласме $_SERVER на основе вашей конфигурации Apache (директива **ServerName** с UseCanonicalName On) в httpd.conf(будь то из включенной конфигурации виртуального хоста файл, что угодно и т.д.). HTTP_HOST выводится из заголовка HTTP host . Рассматривайте это как пользовательский ввод. Фильтр и проверка перед использованием.
Вот пример того, где я использую $_SERVER["SERVER_NAME"] в качестве основы для сравнения. Следующий метод относится к конкретному дочернему классу, который я назвал ServerValidator (дочерний элемент Validator). ServerValidator проверяет шесть или семь элементов в $_SERVER перед их использованием.
При определении того, является ли HTTP-запрос POST, я использую этот метод.
Public function isPOST() { return (($this->requestMethod === "POST") && // Ignore $this->hasTokenTimeLeft() && // Ignore $this->hasSameGETandPOSTIdentities() && // Ingore ($this->httpHost === filter_input(INPUT_SERVER, "SERVER_NAME"))); }
К моменту вызова этого метода будет выполняться вся фильтрация и проверка соответствующих элементов $_SERVER (и соответствующих наборов свойств).
($this->httpHost === filter_input(INPUT_SERVER, "SERVER_NAME")
Проверяет, что значение $_SERVER["HTTP_HOST"] (в конечном счете полученное из запрошенного HTTP-заголовка host) соответствует $_SERVER["SERVER_NAME"] .
Теперь я использую суперглобальный разговор, чтобы объяснить мой пример, но это потому, что некоторые люди не знакомы с INPUT_GET , INPUT_POST и INPUT_SERVER в отношении filter_input_array() .
Суть в том, что я не обрабатываю запросы POST на моем сервере, если не выполнены все четыре условия. Следовательно, с точки зрения запросов POST отказ в предоставлении HTTP host заголовка (присутствия, проверенного для более ранних) заклинаний doom для строгих браузеров HTTP 1.0 . Кроме того, запрашиваемый хост должен соответствовать значению ServerName в httpd.conf, а по расширению - значению $_SERVER("SERVER_NAME") в супермаклоне $_SERVER . Опять же, я бы использовал INPUT_SERVER с функциями фильтра PHP, но вы ломали мой дрейф.
Как указано в balusC, SERVER_NAME не является надежным и может быть изменен в конфигурации apache, конфигурации сервера сервера и брандмауэра, которые могут находиться между вами и сервером.
Следующая функция всегда возвращает реальный хост (пользовательский типизированный хост) без порта, и он почти надежен:
Function getRealHost(){ list($realHost,)=explode(":",$_SERVER["HTTP_HOST"]); return $realHost; }
поделитьсяДля начала мы усовершенствуем страничку регистрации, добавив возможность загружать аватар. Исходное изображение должно быть формата jpg, gif или png. Так же оно должно быть не более 2 Мб. Не беспокойтесь, после его сжатия скриптом, размер аватара будет около 3 кб и формат jpg. Откройте страницу reg. php и допишите в теге < form > строчку enctype="multipart/form-data" ,как в примере: