PHP怎么获取来访域名，获取域名的代码怎么写？

获取来访域名是PHP开发中处理动态路由、多租户系统及安全验证的基础环节。核心上文小编总结在于：单纯依赖 $_SERVER 数组中的单一变量往往不足，最稳健的方案是综合判断 HTTP_HOST 与 SERVER_NAME，并结合反向代理（如Nginx）的转发头信息，同时必须实施严格的白名单校验机制以防止Header注入攻击。 只有通过这种多维度的获取与验证策略,才能确保在复杂的云环境和网络架构中准确获取用户访问的域名。

基础原理：解析 $_SERVER 核心变量

在PHP中，获取域名的所有信息都封装在全局数组 $_SERVER 中，但开发者往往混淆了其中几个关键变量的区别,导致在特定环境下获取失败。

HTTP_HOST 与 SERVER_NAME 的本质区别
$_SERVER['HTTP_HOST'] 是最常用的变量，它直接来源于客户端请求头中的 Host 字段，这意味着它包含了用户浏览器实际发送的域名和端口号（www.example.com:8080），它的优势是能够反映用户的真实输入,非常适合用于生成当前页面的回跳链接。

相比之下，$_SERVER['SERVER_NAME'] 的值则取决于服务器配置文件（如Nginx的 server_name 或 Apache的 ServerName），在虚拟主机配置正确的情况下，它通常返回主域名。关键点在于： 如果服务器配置没有特别指定，或者使用了基于IP的虚拟主机，SERVER_NAME 可能会返回服务器IP而非域名，且它默认不包含端口号，对于需要精确回显用户访问地址的场景，HTTP_HOST 优先级更高。

进阶实战：构建兼容HTTPS与代理的获取函数

在现代Web架构中，网站通常部署在负载均衡器或CDN之后，且强制使用HTTPS，简单的 $_SERVER['HTTP_HOST'] 在这些场景下可能无法获取到真实的用户访问域名,或者丢失了协议信息。

处理反向代理与协议判断
当PHP应用运行在Nginx或Apache反向代理之后时，HTTP_HOST 可能会被重写为内部服务器的IP或域名，必须检查 $_SERVER['HTTP_X_FORWARDED_HOST']，这是一个标准的代理头，用于传递客户端原始请求的Host信息，为了准确拼接URL，还需要判断协议类型，虽然 $_SERVER['HTTPS'] 是标准做法，但在代理模式下，往往需要检查 $_SERVER['HTTP_X_FORWARDED_PROTO'] 来确定原始请求是 HTTP 还是 HTTPS。

以下是一个经过实战验证的封装函数,能够自动适应上述复杂环境：

function getServerDomain() {
    // 优先检查代理头，适用于负载均衡和CDN环境
    $host = isset($_SERVER['HTTP_X_FORWARDED_HOST']) ? $_SERVER['HTTP_X_FORWARDED_HOST'] : (isset($_SERVER['HTTP_HOST']) ? $_SERVER['HTTP_HOST'] : '');
    // 如果都没有，回退到 SERVER_NAME
    if (empty($host)) {
        $host = $_SERVER['SERVER_NAME'];
    }
    // 处理端口号，通常标准端口（80/443）不需要显示在URL中
    $host = preg_replace('/:d+$/', '', $host);
    // 判断协议
    $isHttps = false;
    if (isset($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) !== 'off') {
        $isHttps = true;
    } elseif (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) === 'https') {
        $isHttps = true;
    }
    return ($isHttps ? 'https://' : 'http://') . $host;
}

安全防线：防范Host Header注入攻击

虽然获取域名是为了业务便利，但盲目信任 $_SERVER 中的值会带来严重的安全隐患。Host Header 注入攻击 是常见的漏洞点，攻击者可以通过修改请求包中的 Host 字段,将域名篡改为恶意网站。

白名单验证机制
为了防止缓存中毒或密码重置链接被发送到攻击者控制的域名，必须对获取到的域名进行白名单校验，开发者应定义一个允许的域名列表，只有当获取到的域名属于该列表时,才继续处理业务逻辑。

如果业务只允许 example.com 和 www.example.com,代码逻辑应增加如下判断：

$allowedHosts = ['example.com', 'www.example.com'];
$currentDomain = parse_url(getServerDomain(), PHP_URL_HOST);
if (!in_array($currentDomain, $allowedHosts)) {
    // 记录异常日志或直接拦截
    header('HTTP/1.1 400 Bad Request');
    exit('Invalid Host Header');
}

这种防御机制确保了即使攻击者伪造了Host头,应用也不会基于伪造的域名生成敏感链接。

独家经验案例：酷番云环境下的多域名配置

在酷番云的高性能云服务器产品实践中，我们经常遇到用户部署多租户SaaS应用或需要处理泛域名的场景，曾有一个电商客户，其业务架构采用了酷番云的负载均衡（SLB）加后端多台PHP服务器的模式。

问题背景
客户反馈，部分用户的订单确认邮件中，域名偶尔会变成后端服务器的内网IP地址，导致用户点击链接失效，经过排查，发现是因为后端PHP代码直接使用了 SERVER_NAME，而在负载均衡健康检查或特定转发策略下,该变量并未被正确覆盖为外网域名。

解决方案
结合酷番云的云产品特性,我们指导客户进行了两层优化：

1. 负载均衡层配置： 在酷番云的SLB监听配置中，开启“获取客户端源IP”以及“透传Host头”功能，确保 HTTP_X_FORWARDED_HOST 包含用户原始访问的公网域名。
2. 应用层代码改造： 放弃直接读取环境变量，改用上述封装的 getServerDomain 函数,并增加针对客户业务域名的白名单校验。

实施效果
通过这次调整，不仅解决了域名获取错误的问题，还顺便修复了潜在的Host头注入漏洞，在后续的高并发大促活动中，该系统在酷番云的高性能计算资源支持下，域名解析逻辑稳定运行，未再出现链接跳转错误，这表明，在云原生架构下,获取域名的逻辑必须与基础设施的转发机制深度结合。

相关问答

Q1：为什么我的网站在本地localhost正常，上线后获取域名带端口号？
A： 这通常是因为服务器配置或PHP默认行为导致的。$_SERVER['HTTP_HOST'] 会包含非标准端口号，如果您的网站运行在8080端口，HTTP_HOST 就会返回 domain.com:8080，解决方法是在获取域名后，使用 parse_url 或正则表达式（如上文代码中的 preg_replace('/:d+$/', '', $host)）去除端口号部分，或者确保Web服务器（如Nginx）将监听端口配置为标准的80或443端口。

Q2：在PHP CLI模式（命令行）下能获取到来访域名吗？
A： 不能。$_SERVER 数组中的 HTTP_HOST、SERVER_NAME 等变量是由Web服务器（如Apache、Nginx）在处理HTTP请求时传递给PHP的，在CLI模式下，没有HTTP请求上下文，因此这些变量通常不存在或为空，如果需要在CLI脚本中知道域名，通常需要通过命令行参数传入,或者在代码中硬编码配置。

希望这篇文章能帮助您解决PHP获取域名的各类难题，如果您在部署过程中遇到关于云服务器配置或域名解析的疑问，欢迎在评论区留言,我们将为您提供更深入的技术支持。