PHP gethostbyname安全含义

Question

我正在开发一个PHP应用程序。有一个要求找到IP的主机名，我不得不求助于gethostbynamel。看来没有别的办法了。

我想知道是否与此相关的安全问题。我正在使用正则表达式验证作为最终用户输入的主机名。

我有两个选择：

1. 当用户提交带有主机名的表单时，验证它并使用gethostbynamel
2. 当用户提交带有主机名的表单时，验证它存储在数据库中，并使用运行gethostbynamel的cron作业。

上述方法是否有不同之处？

安全性是应用程序的首要任务。

Answer 1

php函数gethostbynamel是本机OS gethostbyname函数的包装器。

实现可以看到这里。

因此，应用于gethostbyname syscall的相同漏洞将应用于您的代码。我没有看到任何现有的gethostbyname漏洞会困扰我。

因此，基本上只要您正在准确地验证主机名，您就应该没事。

有关regex的帮助，请参阅此所以回答和本课文。

在您发布的两个选项中，它们对安全性影响没有任何影响。gethostbyname是一个网络呼叫，因此与它相关的时间是不可忽略的.这可能是为什么你会选择使用一种而另一种的区别。