本文介绍一种基于 PHP parse_url() 的健壮 URL 域名校验方法,替代易被绕过的字符串匹配逻辑,确保仅允许指定域名(如 myydomain.com)的合法 URL 创建短链,有效拦截 @xxx:https://... 等畸形输入。
本文介绍一种基于 php `parse_url()` 的健壮 url 域名校验方法,替代易被绕过的字符串匹配逻辑,确保仅允许指定域名(如 myydomain.com)的合法 url 创建短链,有效拦截 `@xxx:https://...` 等畸形输入。
在构建短链接服务时,仅靠 strpos($url, 'myydomain.com') 进行模糊匹配存在严重安全缺陷——攻击者可通过在真实 URL 前添加任意字符(如 @ryui:https://myydomain.com/...)、插入空格、使用全角符号、拼接多段 URL 等方式绕过检测,导致非法或恶意链接写入数据库。
根本原因在于:strpos 是纯文本扫描,不理解 URL 结构。它无法区分“myydomain.com 是完整主机名”还是“myydomain.com 仅是某段垃圾文本中的子串”。
✅ 正确做法是解析 URL 语义结构,提取并比对标准化的主机名(host)。PHP 内置函数 parse_url() 正为此而生:
function denyNonSite($url): bool
{
$host = parse_url($url, PHP_URL_HOST);
// 若解析失败(返回 false)或主机名不匹配,则拒绝
return $host !== 'myydomain.com';
}该函数具备以下关键优势:
- ✅ 结构化校验:parse_url(..., PHP_URL_HOST) 仅返回协议后、路径前的标准主机名(如 myydomain.com),自动忽略 URL 前缀、注释、编码干扰;
- ✅ 天然防御畸形输入:对 @ryui:https://myydomain.com/...、http://evil.com?redirect=https://myydomain.com/ 等非标准格式,parse_url 返回 false,使 false !== 'myydomain.com' 为 true,即直接拒绝;
- ✅ 避免协议/大小写陷阱:parse_url 自动归一化,HTTPS://MYDOMAIN.COM/path 仍能正确解析出 mydomain.com(注意:域名本身不区分大小写,但建议统一小写比对);
- ✅ 零依赖、高性能:无需正则或第三方库,原生函数开销极低。
⚠️ 注意事项:
- 实际部署前,请将示例中的 'myydomain.com' 替换为你的真实主域名(不含 http:// 或 www. 前缀);
- 若需支持子域名(如 app.myydomain.com),可改用 str_ends_with($host, '.myydomain.com') || $host === 'myydomain.com';
- 强烈建议在数据库写入前同时校验协议(如仅允许 https)和路径合法性(如禁止 javascript:、data: 协议),形成纵深防御;
- 前端校验不可信,此函数必须在服务端调用,且应在业务逻辑最外层(如 API 入口或表单提交处理)执行。
总结:URL 校验不是字符串搜索问题,而是语义解析问题。抛弃 strpos,拥抱 parse_url,是保障短链接服务安全性的基础一步。
