获取 PATH_INFO 的便携且安全的方法

Question

我正在寻找一种便携式方式来接收（方便的）$_SERVER['PATH_INFO'] 变量。

读了一会儿，原来PATH_INFO 源自 CGI/1.1，我并不总是出现在所有配置中。

获取该变量的最佳（主要是安全方面）方法是什么 - 除了手动提取它（安全问题）。

Answer 1

好吧，我（几乎）确定，如果不使用 $_SERVER 超全局键，提供另一种方法来找出 PATH_INFO 是不可能的，也就是说 lets first list all of the $_SERVER keys 我们可能 可能使用：

• 'PHP_SELF'
• 'QUERY_STRING'
• 'SCRIPT_FILENAME'
• 'PATH_TRANSLATED'
• 'SCRIPT_NAME'
• 'REQUEST_URI'
• 'PATH_INFO'
• 'ORIG_PATH_INFO'

我们显然需要忽略最后两个。现在我们应该（我不知道这个事实，我只是假设因为你这么说）过滤你提供的链接中存在的所有键 (which BTW is offline ATM)，留下我们使用以下键：

• 'PHP_SELF'
• 'SCRIPT_FILENAME'
• 'REQUEST_URI'

关于您对Anthonys answer的评论：

你现在只是在玩弄变量。 SCRIPT_FILENAME 是 CGI 的一部分 规格。它将不可用，如果 PATH_INFO 不可用。至于 REQUEST_URI，是apache的mod_rewrite 具体的。 – 里拉努纳

我正在运行 LightTPD/1.4.20-1 (Win32) 和 PHP 5.3.0 作为 CGI，cgi.fix_pathinfo = 1 和 $_SERVER['REQUEST_URI'] 对我来说非常可用，我还记得使用它在没有人使用 mod_rewrite 的日子里，同样的变量，所以 我诚实的谦虚猜测是，你在这一点上完全错了。关于SCRIPT_FILENAME 键，我无法测试那个ATM。尽管如此，如果我们真的闭上眼睛并相信你是对的，那么我们就只有一个变量：

• 'PHP_SELF'

我并不想在这里变得苛刻（我仍然相信还有更多的解决方案），但如果 PHP_SELF 是您希望我们使用的唯一关键（假设没有对 @987654337 施加任何限制） @ 本身）只剩下一个解决方案了：

function PATH_INFO()
{
 if (array_key_exists('PATH_INFO', $_SERVER) === true)
 {
  return $_SERVER['PATH_INFO'];
 }

 $whatToUse = basename(__FILE__); // see below

 return substr($_SERVER['PHP_SELF'], strpos($_SERVER['PHP_SELF'], $whatToUse) + strlen($whatToUse));
}

这个函数应该可以工作，但是使用 __FILE__ 常量可能会出现一些问题，因为它返回声明__FILE__ 常量的文件的路径，而不是请求的 PHP 脚本的路径，这就是 $whatToUse 存在的原因：您可以将其替换为 'SCRIPT_FILENAME'，或者如果您真的相信您所说的话，只需使用 '.php'强>。

你也应该read this regarding why not to use PHP_SELF。

如果这对你不起作用，我很抱歉，但我可以想到别的。

编辑 - 为您阅读更多内容：

• Drupal request_uri()（为什么他们一直说 REQUEST_URI 是特定于 Apache 的？）
• PHP_SELF vs PATH_INFO vs SCRIPT_NAME vs REQUEST_URI

Answer 2

我认为这是以其他方式获取“path_info”的技巧：

$path_info = str_replace($_SERVER['SCRIPT_NAME'], '', $_SERVER['PHP_SELF']);

例如，访问像：http://somehost.com/index.php/some/path/here 这样的 URL，$path_info 的值将是："/some/path/here"

它在 Windows 和 linux 上运行的各种 apache 服务器中对我有用，但我不能 100% 确定它是否“安全”和“便携”，显然我没有在“所有”服务器配置中测试它，但是似乎工作......

Answer 3

function getPathInfo() {
    if (isset($_SERVER['PATH_INFO'])) {
        return $_SERVER['PATH_INFO'];
    }  
    $scriptname = preg_quote($_SERVER["SCRIPT_NAME"], '/');
    $pathinfo = preg_replace("/^$scriptname/", "", $_SERVER["PHP_SELF"]);
    return $pathinfo;
}

编辑：没有 SCRIPT_NAME，并假设您有 DOCUMENT_ROOT（或者可以自己定义/发现它）并假设您有 SCRIPT_FILENAME，那么：

function getPathInfo() {
    if (isset($_SERVER['PATH_INFO'])) {
        return $_SERVER['PATH_INFO'];
    }  
    $docroot = preg_quote($_SERVER["DOCUMENT_ROOT"], "/");
    $scriptname = preg_replace("/^$docroot/", "", $_SERVER["SCRIPT_FILENAME"]);
    $scriptname = preg_quote($scriptname, "/");
    $pathinfo = preg_replace("/^$scriptname/", "", $_SERVER["PHP_SELF"]);
    return $pathinfo;
}

还有@Anthony（没有足够的代表发表评论，抱歉）：使用 str_replace() 将匹配字符串中的任何位置。它不能保证有效，您只想在开始时匹配它。此外，您仅使用 1 个斜线（通过 strrpos）来确定 SCRIPT_NAME 的方法，仅在脚本位于根目录下时才有效，这就是为什么您最好将 script_filename 与 docroot 进行比较。

Answer 4

这取决于“便携”和“安全”的定义。

让我看看我是否理解：

1) 你对 CLI 不感兴趣：

• 你提到了 PHP/CGI
• PATH_INFO 是 URL 的一部分；因此，只有在从 URL 访问脚本（即从 HTTP 连接，通常由浏览器请求）时讨论 PATH_INFO 才有意义

2) 您希望在所有操作系统 + HTTP 服务器 + PHP 组合中都有 PATH_INFO：

• 操作系统可能是 Windows、Linux 等
• HTTP 服务器可能是 Apache 1、Apache 2、NginX、Lighttpd 等。
• PHP 可能是版本 4、5、6 或任何版本

嗯... PHP_INFO，在 $_SERVER 数组中，由 PHP 提供给仅在特定条件下执行的脚本，具体取决于上述软件。它并不总是可用的。整个 $_SERVER 数组也是如此！

简而言之：“$_SERVER 依赖于服务器”...因此可移植解决方案无法在 $_SERVER 上中继...（仅举一个例子：我们有一个教程在 kbeezie.com/view/php-self-path-nginx/ 的 NginX HTTP 服务器上设置 PHP/CGI $_SERVER 变量）

3) 尽管上面提到了，但值得一提的是，如果我们以某种方式将请求的完整 URL 用作字符串，则可以通过应用正则表达式从中获取 PATH_INFO和其他 PHP 字符串函数，安全（也将输入字符串验证为有效 URI）。

所以，只要我们有 URL 字符串...那么是的，我们有一种可移植且安全的方法来从中确定 PATH_INFO。

---

现在，我们有两个明确且重点突出的实施问题：

1. 如何获取网址？
2. 如何从 URL 中获取 PATH_INFO？

---

在几种可能性中，这是一种可能的方法：

如何获取网址？

1) 凭借您对每个 HTTP 服务器 + 操作系统 + PHP 版本组合的深入而全面的了解，检查并尝试从 $_SERVER 数组中获取 URL 的每种可能性（验证 'PHP_SELF'、'QUERY_STRING'、'SCRIPT_FILENAME'、 'PATH_TRANSLATED'、'SCRIPT_NAME'、'REQUEST_URI'、'PATH_INFO'、'ORIG_PATH_INFO'、'HTTP_HOST'、'DOCUMENT_ROOT' 或其他）

2) 如果上一步失败，使 PHP 脚本返回一个 javascript 代码，该代码将“document.URL”信息发回。 （转移到客户端的可移植性问题。）

如何从 URL 中获取 PATH_INFO？

This code linked here does this.

这是我的拙见和解决问题的方法。

你怎么看？

Answer 5

在发布之前我没有看到 cmets 或链接。根据上面引用的页面作为 CGI 派生变量给出的内容，这可能会起作用：

function getPathInfo() {
    if (isset($_SERVER['PATH_INFO'])) {
        return $_SERVER['PATH_INFO'];
    }  

    $script_filename = $_SERVER["SCRIPT_FILENAME"];
    $script_name_start = strrpos($script_filename, "/");
    $script_name = substr($script_filename, $script_name_start);

    //With the above you should have the plain file name of script without path        

    $script_uri = $_SERVER["REQUEST_URI"];
    $script_name_length = strlen($script_name);
    $path_start = $script_name_length + strpos($script_name, $script_uri);

    //You now have the position of where the script name ends in REQUEST_URI

    $pathinfo = substr($script_uri, $path_start);
    return $pathinfo;
}

Answer 6

你可以试试

$_ENV['PATH_INFO']; or
getenv('PATH_INFO'];