根本原因是代理、CDN或反向代理未透传或篡改HTTP_HOST头,导致PHP获取到IP而非域名;应优先确保HTTP_HOST正确传递,或通过X-Real-Host等自定义头可靠获取真实域名。
PHP 获取域名时拿到 IP 地址,根本原因不是 PHP 本身出错,而是你读取的 HTTP 头字段(如 HTTP_HOST 或 SERVER_NAME)被代理、CDN 或反向代理篡改或未正确传递,导致原始 Host 信息丢失。
为什么 $_SERVER['HTTP_HOST'] 返回的是 IP 而不是域名
常见于 Nginx/Apache 前置了 CDN(如 Cloudflare)、负载均衡器(如 AWS ALB)、Docker 容器网络或本地 hosts 绑定调试场景。这些中间层可能:
- 未将客户端请求的
Host请求头透传给后端 PHP(例如 Nginx 缺少proxy_set_header Host $host;) - 主动把
Host改成自己的内网地址或上游 IP(尤其在 Docker link 或 Kubernetes Service 场景下) - CDN 回源时用 IP 直连后端,且未设置
Host头,此时 PHP 只能 fallback 到$_SERVER['SERVER_NAME']——而它通常来自 Web 服务器配置,未必等于真实访问域名
如何可靠获取用户实际访问的域名
没有银弹,需按可信度优先级组合判断:
- 优先用
$_SERVER['HTTP_HOST'],但必须确保它来自客户端原始请求(检查 Nginx/Apache 是否透传) - 若用了 CDN,Cloudflare 用户可读
$_SERVER['HTTP_CF_CONNECTING_IP']+ 对应的$_SERVER['HTTP_CF_VISITOR']辅助验证,但域名仍要靠HTTP_HOST - 当
HTTP_HOST是 IP 时,可尝试从$_SERVER['REQUEST_URI']或日志中反查 Referer(不推荐用于安全逻辑) - 终极方案:在入口层(如 Nginx)显式注入可信域名到自定义头,例如
proxy_set_header X-Real-Host $host;,PHP 中读$_SERVER['HTTP_X_REAL_HOST']
$_SERVER['SERVER_NAME'] 和 $_SERVER['HTTP_HOST'] 的关键区别
二者来源完全不同,混淆是常见误因:
立即学习“PHP免费学习笔记(深入)”;
-
$_SERVER['SERVER_NAME']来自 Web 服务器配置(如 Apache 的ServerName或 Nginx 的server_name),是静态值,不随用户访问域名变化 -
$_SERVER['HTTP_HOST']来自 HTTP 请求头,是客户端发送的原始Host:字段,动态、可伪造,但正是你要的“用户访问的域名” - 如果
HTTP_HOST出现 IP,说明该请求头被中间件覆盖或未设置,此时SERVER_NAME的值毫无参考价值
真正麻烦的不是 PHP 怎么读,而是你是否掌控了整个请求链路的头传递规则——漏掉一个 proxy_set_header,后面所有域名逻辑都会错。别急着改 PHP,先抓包看 Host 头进 PHP 前长什么样。
