PHP中无专用获取域名的内置变量,应结合HTTP_HOST、SERVER_NAME、协议及白名单校验安全获取域名,避免依赖单一$_SERVER键。
PHP 中没有专门“获取域名”的内置变量,所有可用值都来自 $_SERVER 超全局数组,且不同环境(HTTP/HTTPS、反向代理、CLI)下表现不一致——直接读 $_SERVER['HTTP_HOST'] 或 $_SERVER['SERVER_NAME'] 很可能出错。
为什么 $_SERVER['HTTP_HOST'] 不可靠?
它由客户端请求头 Host 字段提供,可被任意伪造:
- 攻击者发
curl -H "Host: evil.com" https://your-site.com/,$_SERVER['HTTP_HOST']就变成evil.com - Nginx/Apache 未配置
server_name或未启用underscores_in_headers off时,可能漏掉 Host 头 - HTTPS 站点在反向代理后(如 Cloudflare、Nginx),真实 Host 可能被覆盖,而
HTTP_HOST反映的是代理传来的值,未必是业务域名
$_SERVER['SERVER_NAME'] 和 $_SERVER['HTTP_HOST'] 的本质区别
SERVER_NAME 来自 Web 服务器配置(如 Apache 的 ServerName、Nginx 的 server_name),不依赖请求头,更可信;但它的值是静态配置的,不会随请求变化:
- 如果你的虚拟主机绑定了多个域名(如
example.com和www.example.com),SERVER_NAME只返回配置中第一个(通常是example.com) - CLI 模式下该值为空或不可用,因为没走 HTTP 协议栈
- 某些共享主机禁用了
SERVER_NAME(出于安全限制),此时读出来是空字符串
安全获取当前域名的推荐做法
不要只依赖单个 $_SERVER 键。应结合协议、端口、配置白名单和上下文判断:
立即学习“PHP免费学习笔记(深入)”;
- 先检查是否 HTTPS:
isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on',或更兼容地用$_SERVER['REQUEST_SCHEME'] ?? 'http' - 优先用
$_SERVER['HTTP_HOST'],但必须校验是否在你认可的域名列表内(例如in_array($_SERVER['HTTP_HOST'], ['example.com', 'www.example.com'])) - 若无可信 Host(如 CLI、Cron、Webhook 回调),回退到配置文件定义的主域名:
define('APP_DOMAIN', 'example.com'); - 避免拼接
$_SERVER['SERVER_NAME'] . ':' . $_SERVER['SERVER_PORT']—— 80/443 端口不应显式写出,否则生成example.com:80这类非标准 URL
实际开发中建议封装成函数
比如:
function get_current_domain(): string
{
if (php_sapi_name() === 'cli') {
return APP_DOMAIN ?? 'localhost';
}
$host = $_SERVER['HTTP_HOST'] ?? $_SERVER['SERVER_NAME'] ?? 'localhost';
// 去除端口(保留 80/443 隐式逻辑)
$host = preg_replace('/:\d+$/', '', $host);
// 白名单校验(生产环境必须)
$allowed = ['example.com', 'www.example.com'];
if (in_array($host, $allowed, true)) {
return $host;
}
return APP_DOMAIN ?? 'example.com';
}
这个函数不追求“自动识别”,而是把控制权交还给开发者:域名必须明确声明、显式校验,而不是靠运行时猜。
真正容易被忽略的,是本地开发(localhost:8000)、测试环境(test.example.com)、预发布环境(staging.example.com)各自需要独立的域名策略——它们无法靠一个通用规则覆盖,必须配置驱动。
