除了$_SERVER['SERVER_NAME']，还有什么好的替代方法吗？

Question

我在PHP文档页上读到了以下评论

请注意，Server-Array的大多数内容(甚至$_SERVER'SERVER_NAME')都是由客户端提供的，并且可以被操作。它们也可以用于注入，因此必须像任何其他用户输入一样进行检查和处理。

然后我在这里看到了一个话题，名称‘]部分由服务器控制。

我能信任这个价值来获得我的网站的网址吗？如果我不能真正信任$_SERVER'SERVER_NAME'，我如何获得这个值？有哪些可能的替代方案及其利弊？

OBS: Apache上的PHP5.3。

Answer 1

您可以通过在Apache配置中启用UseCanonicalName指令来增强该变量的安全性，如下面所述

Answer 2

我通常硬编码‘真实’url到我的网站到一个网站配置文件。我不会依赖阿帕奇的话告诉你你的网址。有几个不同的vhost或服务器别名指向同一个docroot吗？