本文介绍一种基于 PHP parse_url() 的健壮 URL 域名校验方法,替代易被绕过的字符串匹配(如 strpos),确保仅允许指定域名(如 mydomain.com)的合法 URL 通过验证,有效拦截 @xxx:https://... 等常见注入攻击。
本文介绍一种基于 php `parse_url()` 的健壮 url 域名校验方法,替代易被绕过的字符串匹配(如 `strpos`),确保仅允许指定域名(如 `mydomain.com`)的合法 url 通过验证,有效拦截 `@xxx:https://...` 等常见注入攻击。
在构建短链接服务时,若仅依赖 strpos($url, 'mydomain.com') 判断 URL 合法性,极易被攻击者绕过——例如在真实 URL 前插入 @ryui:、空格、换行符或 URL 编码字符(如 %00https://...),甚至拼接多个协议头(如 http://evil.com/https://mydomain.com/...)。此时 strpos 仍可能返回非 false 值,导致非法 URL 被误判为合法并写入数据库。
根本原因在于:字符串匹配无法识别 URL 结构语义。它不区分“主机名”与“路径中的子串”,也无法处理协议头缺失、编码混淆或前缀污染等场景。
✅ 正确做法是:解析 URL 并精准比对 host 组件。PHP 内置函数 parse_url() 可安全提取标准化的 URL 各部分,即使输入含杂音(如 @ryui:https://mydomain.com/...),只要其结构可被识别为有效 URL,parse_url($url, PHP_URL_HOST) 就会返回真实的主机名;若完全无效(如无协议、无 host),则返回 false,天然满足拒绝条件。
以下是推荐的校验函数实现:
function denyNonSite(string $url): bool
{
$host = parse_url($url, PHP_URL_HOST);
// 返回 true 表示「应拒绝」:host 为空、非字符串、或不等于目标域名
return !is_string($host) || $host !== 'mydomain.com';
}? 示例验证:
- denyNonSite('https://mydomain.com/page/abc') → false(合法)
- denyNonSite('@ryui:https://mydomain.com/page/abc') → true(非法:parse_url 无法解析带前缀的字符串,返回 false)
- denyNonSite('https://evil.com/https://mydomain.com/') → true(非法:host 为 evil.com)
- denyNonSite('mydomain.com/path') → true(非法:无协议,parse_url 返回 false)
? 关键注意事项:
- ✅ 始终将 $url 类型声明为 string,避免传入数组或对象引发警告;
- ✅ 使用严格比较 === 或 !==,防止类型转换导致误判(如 0 == false);
- ⚠️ 若业务需支持 www.mydomain.com 等子域,应改用 str_ends_with($host, '.mydomain.com') || $host === 'mydomain.com';
- ⚠️ 前端校验不可信:此函数必须在服务端调用,并置于数据库写入前的最后一道校验环节;
- ? 进阶建议:结合 filter_var($url, FILTER_VALIDATE_URL) 做前置格式筛查,但注意其对某些合法 URL(如含中文路径)兼容性较弱,parse_url + host 校验仍是更稳定的核心策略。
通过将 URL 解析与结构化校验作为唯一可信依据,您能彻底规避文本层面的注入陷阱,显著提升短链接系统的安全性与数据纯净度。
