PHP 中哪些 $_SERVER 變數可以安全使用？

識別安全的 $_SERVER 變量

攻擊者可以利用用戶可以控制的變量，使它們不安全或「被污染」。本文旨在提供 $_SERVER 變數及其各自安全等級的完整清單。

伺服器控制

這些變數由伺服器設定，不受使用者影響輸入：

• 'GATEW AY_INTERFACE'
• 'SERVER_ADDR'
• 'SERVER_SOFTWARE'
• 'DOCUMENT_ROOT'
• 'SERVER_ADMIN'
• 'SERVER_SIGNATURE'

部分伺服器控制

這些變數取決於客戶端的要求，但有效值有限，使其可靠：

• 'HTTPS'
• 'REQUEST_TIME'
• 'REMOTE_ADDR'（透過 TCP/IP驗證握手）
• 'REMOTE_HOST'（可能是欺騙性的）
• 'REMOTE_PORT'
• 'SERVER_PROTOCOL'
• 'SERVER_PROTOCOL'

• 'HT伺服器）

• 'SERVER_NAME'
• 'SCRIPT_FILENAME'
• 'SERVER_PORT'

'SCRIPT_NAME '

完全任意的使用者受控

這些變數容易受到使用者操縱：
• 'argv', 'argc'
• 'REQUEST_METHOD'
• 'QUERY_STRING'
• 'HTTP_ACCEPT'
• 'HTTP_ACCEPT_CH ARSET'
• 'HTTP_ACCEPT_ENCODING'
• 'HTTP_ACCEPT_LANGUAGE'
• 'HTTP_CONNECTION'
• 'HTTP_REFERER'
• 'HTTP_USER_AGENT'
• 'AUTH_TYPE'
• 'PHP_AUTH_DIGEST'
• 'PHP_AUTH_PW'
• 'PATH_INFO'
• 'ORIG_PATH_INFO'
• 'REREQUEST_URI' （可能包含受污染的數據）
• 'PHP_SELF'（可能包含受污染的數據）
• 'PATH_TRANSLATED'
• 任何其他'HTTP_' 值

環境變數

環境變數的安全性取決於其來源。它們的範圍可以從完全伺服器控製到完全用戶控制。

以上是PHP 中哪些 $_SERVER 變數可以安全使用？的詳細內容。更多資訊請關注PHP中文網其他相關文章！