Saya memiliki situs saya di server

http://www.myserver.uk.com

Untuk ini saya punya dua domain,

http://one.com

dan

http://two.com

Saya ingin dapatkan dengan domain PHP saat ini, tetapi jika saya gunakan $_SERVER['HTTP_HOST']maka ini menunjukkan kepada saya

myserver.uk.com

dari pada:

one.com or two.com

Bagaimana saya bisa mendapatkan domain, bukan nama server?

Saya punya PHP versi 5.2.

Coba gunakan ini: $_SERVER['SERVER_NAME']

Atau parse

$_SERVER['REQUEST_URI']

apache_request_headers ()

Penggunaan terbaik adalah

echo $_SERVER['HTTP_HOST'];

Dan itu bisa digunakan seperti ini:

if (strpos($_SERVER['HTTP_HOST'], 'banana.com') !== false) {
    echo "Yes this is indeed the banana.com domain";
}

Kode di bawah ini adalah cara yang baik untuk melihat semua variabel dalam $ _SERVER dalam output HTML terstruktur dengan kata kunci yang disorot yang berhenti langsung setelah eksekusi. Karena saya kadang-kadang lupa mana yang akan digunakan sendiri - saya pikir ini bisa bagus.

<?php
    // Change banana.com to the domain you were looking for..
    $wordToHighlight = "banana.com";
    $serverVarHighlighted = str_replace( $wordToHighlight, '<span style=\'background-color:#883399; color: #FFFFFF;\'>'. $wordToHighlight .'</span>',  $_SERVER );
    echo "<pre>";
    print_r($serverVarHighlighted);
    echo "</pre>";
    exit();
?>

Menggunakan $_SERVER['HTTP_HOST']get me (subdomain.) Maindomain.extension. Sepertinya ini solusi termudah bagi saya.

Jika Anda benar-benar 'mengarahkan ulang' melalui iFrame, Anda dapat menambahkan parameter GET yang menyatakan domain.

<iframe src="myserver.uk.com?domain=one.com"/>

Dan kemudian Anda bisa mengatur variabel sesi yang tetap data ini di seluruh aplikasi Anda.

Satu-satunya cara aman untuk melakukan ini

Semua jawaban lain di halaman ini memiliki implikasi keamanan yang perlu Anda perhatikan.

Satu-satunya metode yang dijamin aman untuk mengambil domain saat ini
adalah untuk 𝓼𝓽𝓸𝓻𝓮 𝓲𝓽 𝓲𝓷 𝓪 𝓼𝓮𝓬𝓾𝓻𝓮 𝓵𝓸𝓬𝓪𝓽𝓲𝓸𝓷 𝔂𝓸𝓾𝓻𝓼𝓮𝓵𝓯.

Sebagian besar kerangka kerja menyimpan domain untuk Anda, jadi Anda ingin berkonsultasi dengan dokumentasi untuk kerangka kerja khusus Anda. Jika Anda tidak menggunakan kerangka kerja, pertimbangkan untuk menyimpan domain di salah satu tempat berikut:

+ ------------------------------------------------- --- + ----------------------------------- +
 | Metode aman menyimpan domain | Digunakan Oleh |
+ ------------------------------------------------- --- + ----------------------------------- +
 | File konfigurasi | Joomla, Drupal / Symfony |
 | Basis data | WordPress |
 | Variabel lingkungan | Laravel |
 | Registri layanan | DNS Kubernetes |
+ ------------------------------------------------- --- + ----------------------------------- +

Anda dapat menggunakan yang berikut ... tetapi tidak aman

Peretas dapat membuat variabel-variabel ini menghasilkan domain apa pun yang mereka inginkan. Hal ini dapat menyebabkan keracunan cache dan serangan phishing yang hampir tidak terlihat.

$_SERVER['HTTP_HOST']

Ini mendapatkan domain dari header permintaan yang terbuka untuk dimanipulasi oleh peretas . Sama dengan:

$_SERVER['SERVER_NAME']

Yang ini dapat dibuat lebih baik jika pengaturan Apache usecanonicalname dimatikan; dalam hal $_SERVER['SERVER_NAME']ini tidak akan lagi diizinkan untuk diisi dengan nilai-nilai sewenang-wenang dan akan aman. Ini, bagaimanapun, non-default dan tidak umum dari pengaturan.

Dalam sistem yang populer

Di bawah ini adalah bagaimana Anda bisa mendapatkan domain saat ini dalam kerangka / sistem berikut:

WordPress

$urlparts = parse_url(home_url());
$domain = $urlparts['host'];

Jika Anda membuat URL di WordPress, cukup gunakan home_url atau site_url , atau fungsi URL lainnya .

Laravel

request()->getHost()

The request()->getHostFungsi diwariskan dari Symfony, dan telah aman sejak 2013 CVE-2013-4752 ditambal.

Drupal

Pemasang belum mengurus untuk membuat ini aman ( masalah # 2404259 ). Tetapi dalam Drupal 8 ada dokumentasi yang dapat Anda ikuti di Pengaturan Host Tepercaya untuk mengamankan instalasi Drupal Anda setelah itu yang berikut ini dapat digunakan:

\Drupal::request()->getHost();

Kerangka kerja lainnya

Jangan ragu untuk mengedit jawaban ini untuk memasukkan cara mendapatkan domain saat ini dalam kerangka favorit Anda. Saat melakukannya, harap sertakan tautan ke kode sumber yang relevan atau ke hal lain yang akan membantu saya memverifikasi bahwa kerangka kerja melakukan hal-hal dengan aman.

Tambahan

Contoh-contoh eksploitasi:

1. Keracunan cache dapat terjadi jika botnet terus menerus meminta halaman menggunakan header host yang salah. HTML yang dihasilkan kemudian akan menyertakan tautan ke situs web penyerang di mana mereka dapat menipu pengguna Anda. Pada awalnya tautan jahat hanya akan dikirim kembali ke peretas, tetapi jika peretas melakukan cukup banyak permintaan, versi jahat laman tersebut akan berakhir di cache Anda dan dibagikan ke pengguna lain.

2. Serangan phishing dapat terjadi jika Anda menyimpan tautan di basis data berdasarkan header host. Misalnya, Anda menyimpan URL absolut ke profil pengguna di forum. Dengan menggunakan tajuk yang salah, seorang peretas dapat membuat siapa saja yang mengklik tautan profil mereka untuk dikirim ke situs phishing.

3. Keracunan reset kata sandi dapat terjadi jika seorang hacker menggunakan header host jahat ketika mengisi formulir pengaturan ulang kata sandi untuk pengguna yang berbeda. Pengguna itu kemudian akan mendapatkan email yang berisi tautan setel ulang kata sandi yang mengarah ke situs phishing.

4. Berikut beberapa contoh berbahaya lainnya

Peringatan dan Catatan Tambahan:

• Ketika usecanonicalname dimatikan, $_SERVER['SERVER_NAME']diisi dengan header yang sama $_SERVER['HTTP_HOST']akan menggunakan anyways (plus port). Ini adalah pengaturan default Apache. Jika Anda atau devops menyalakan ini maka Anda baik-baik saja - ish - tetapi apakah Anda benar-benar ingin bergantung pada tim yang terpisah, atau diri Anda sendiri tiga tahun di masa depan, untuk menjaga apa yang tampaknya menjadi konfigurasi kecil di non -nilai kerusakan? Meskipun ini membuat semuanya aman, saya akan berhati-hati agar tidak bergantung pada pengaturan ini.
• Redhat, bagaimanapun, tidak mengaktifkan usecanonical secara default [ sumber ].
• Jika serverAlias digunakan dalam entri host virtual, dan domain alias diminta, $_SERVER['SERVER_NAME']tidak akan mengembalikan domain saat ini, tetapi akan mengembalikan nilai direktif serverName.
• Jika nama server tidak dapat diatasi, perintah hostname sistem operasi digunakan di tempatnya [sumber] .
• Jika header host tidak disertakan, server akan berperilaku seolah-olah usecanonical berada di [sumber] .
• Terakhir, saya hanya mencoba mengeksploitasi ini di server lokal saya, dan tidak dapat menipu header host. Saya tidak yakin apakah ada pembaruan ke Apache yang membahas hal ini, atau apakah saya hanya melakukan sesuatu yang salah. Apapun itu, tajuk ini masih bisa dieksploitasi di lingkungan di mana virtual host tidak digunakan.

Kata-kata kasar kecil:

     Pertanyaan ini menerima ratusan ribu tampilan tanpa satu pun menyebutkan masalah keamanan yang ada! Seharusnya tidak seperti ini, tetapi hanya karena jawaban Stack Overflow populer, itu tidak berarti aman.

Coba $_SERVER['SERVER_NAME'].

Tips: Buat file PHP yang memanggil fungsi phpinfo()dan lihat bagian "Variabel PHP". Ada banyak variabel berguna yang tidak pernah kita pikirkan di sana.

Saya tahu ini mungkin tidak sepenuhnya pada subjek, tetapi dalam pengalaman saya, saya menemukan menyimpan WWW-ness URL saat ini dalam variabel yang bermanfaat.

Sunting: Selain itu, silakan lihat komentar saya di bawah ini, untuk melihat apa maksudnya.

Ini penting ketika menentukan apakah akan mengirim panggilan Ajax dengan "www", atau tanpa:

$.ajax("url" : "www.site.com/script.php", ...

$.ajax("url" : "site.com/script.php", ...

Saat mengirim panggilan Ajax nama domain harus cocok dengan yang ada di bilah alamat browser, jika tidak, Anda akan memiliki Uncaught SecurityError di konsol.

Jadi saya datang dengan solusi ini untuk mengatasi masalah ini:

<?php
    substr($_SERVER['SERVER_NAME'], 0, 3) == "www" ? $WWW = true : $WWW = false;

    if ($WWW) {
        /* We have www.example.com */
    } else {
        /* We have example.com */
    }
?>

Kemudian, berdasarkan apakah $ WWW benar, atau salah jalankan panggilan Ajax yang tepat.

Saya tahu ini mungkin terdengar sepele, tetapi ini adalah masalah umum yang mudah tersandung.

Semua orang menggunakan parse_urlfungsi ini, tetapi kadang-kadang pengguna dapat memberikan argumen dalam format yang berbeda.

Jadi untuk memperbaikinya, saya telah membuat fungsinya. Lihat ini:

function fixDomainName($url='')
{
    $strToLower = strtolower(trim($url));
    $httpPregReplace = preg_replace('/^http:\/\//i', '', $strToLower);
    $httpsPregReplace = preg_replace('/^https:\/\//i', '', $httpPregReplace);
    $wwwPregReplace = preg_replace('/^www\./i', '', $httpsPregReplace);
    $explodeToArray = explode('/', $wwwPregReplace);
    $finalDomainName = trim($explodeToArray[0]);
    return $finalDomainName;
}

Cukup lewat URL dan dapatkan domainnya.

Sebagai contoh,

echo fixDomainName('https://stackoverflow.com');

akan mengembalikan hasilnya

stackoverflow.com

Dan dalam beberapa situasi:

echo fixDomainName('stackoverflow.com/questions/id/slug');

Dan itu juga akan kembali stackoverflow.com.

$_SERVER['HTTP_HOST'] 

// untuk mendapatkan domain

$protocol=strpos(strtolower($_SERVER['SERVER_PROTOCOL']),'https') === FALSE ? 'http' : 'https';
$domainLink=$protocol.'://'.$_SERVER['HTTP_HOST'];

// domain dengan protokol

$url=$protocol.'://'.$_SERVER['HTTP_HOST'].'?'.$_SERVER['QUERY_STRING'];

// protokol, domain, total kueriString ** Karena $ _SERVER ['SERVER_NAME'] tidak dapat diandalkan untuk hosting multi domain!

Coba saja:

echo apache_request_headers()[3];