假设你有一个简单的设置(CentOS 7, Apache 2.4。x和PHP 5.6.20)，只有一个网站(不假设虚拟主机)…

在PHP的意义上，$_SERVER['SERVER_NAME']是PHP在$_SERVER超全局中注册的一个元素，基于httpd.conf中的Apache配置(**ServerName** directive with UseCanonicalName on)(可能来自包含的虚拟主机配置文件，等等…)HTTP_HOST派生自HTTP主机头。将其视为用户输入。使用前进行筛选和验证。

下面是一个例子，我使用$_SERVER['SERVER_NAME']作为比较的基础。下面的方法来自我创建的名为ServerValidator (Validator的子类)的具体子类。ServerValidator在使用$_SERVER中的6或7个元素之前检查它们。

在确定HTTP请求是否是POST时，我使用了这个方法。

public function isPOST()
{
    return (($this->requestMethod === 'POST')    &&  // Ignore
            $this->hasTokenTimeLeft()            &&  // Ignore
            $this->hasSameGETandPOSTIdentities() &&  // Ingore
            ($this->httpHost === filter_input(INPUT_SERVER, 'SERVER_NAME')));
}

在调用此方法时，所有相关$_SERVER元素的过滤和验证(以及相关属性的设置)都已经完成。

台词……

($this->httpHost === filter_input(INPUT_SERVER, 'SERVER_NAME')

．.． 检查$_SERVER['HTTP_HOST']值(最终从请求的主机HTTP报头派生)是否与$_SERVER['SERVER_NAME']匹配。

现在，我使用超全局语言来解释我的示例，但这只是因为有些人不熟悉关于filter_input_array()的INPUT_GET、INPUT_POST和INPUT_SERVER。

The bottom line is, I do not handle POST requests on my server unless all four conditions are met. Hence, in terms of POST requests, failure to provide an HTTP host header (presence tested for earlier) spells doom for strict HTTP 1.0 browsers. Moreover, the requested host must match the value for ServerName in the httpd.conf, and, by extention, the value for $_SERVER('SERVER_NAME') in the $_SERVER superglobal. Again, I would be using INPUT_SERVER with the PHP filter functions, but you catch my drift.

请记住，Apache经常在标准重定向中使用ServerName(例如，将URL后面的斜杠去掉:例如，http://www.example.com变成http://www.example.com/)，即使您没有使用URL重写。

我使用$_SERVER['SERVER_NAME']作为标准，而不是$_SERVER['HTTP_HOST']。在这个问题上有很多争论。$_SERVER['HTTP_HOST']可以是空的，所以这不应该是创建代码约定的基础，比如我上面的公共方法。但是，仅仅因为它们都是集合并不能保证它们是相等的。测试是最好的方法(记住Apache版本和PHP版本)。

正如balusC所说，SERVER_NAME是不可靠的，可以在apache配置中更改，服务器的服务器名配置以及您和服务器之间的防火墙。

以下函数总是返回没有端口的真实主机(用户键入的主机)，几乎是可靠的:

function getRealHost(){
   list($realHost,)=explode(':',$_SERVER['HTTP_HOST']);
   return $realHost;
}

如果你想检查server.php或其他什么，你想用下面的方法调用它:

<?php
    phpinfo(INFO_VARIABLES);
?>

or

<?php
    header("Content-type: text/plain");

    print_r($_SERVER);
?>

然后使用您站点的所有有效url访问它，并检查差异。

假设你有一个简单的设置(CentOS 7, Apache 2.4。x和PHP 5.6.20)，只有一个网站(不假设虚拟主机)…

在PHP的意义上，$_SERVER['SERVER_NAME']是PHP在$_SERVER超全局中注册的一个元素，基于httpd.conf中的Apache配置(**ServerName** directive with UseCanonicalName on)(可能来自包含的虚拟主机配置文件，等等…)HTTP_HOST派生自HTTP主机头。将其视为用户输入。使用前进行筛选和验证。

下面是一个例子，我使用$_SERVER['SERVER_NAME']作为比较的基础。下面的方法来自我创建的名为ServerValidator (Validator的子类)的具体子类。ServerValidator在使用$_SERVER中的6或7个元素之前检查它们。

在确定HTTP请求是否是POST时，我使用了这个方法。

public function isPOST()
{
    return (($this->requestMethod === 'POST')    &&  // Ignore
            $this->hasTokenTimeLeft()            &&  // Ignore
            $this->hasSameGETandPOSTIdentities() &&  // Ingore
            ($this->httpHost === filter_input(INPUT_SERVER, 'SERVER_NAME')));
}

在调用此方法时，所有相关$_SERVER元素的过滤和验证(以及相关属性的设置)都已经完成。

台词……

($this->httpHost === filter_input(INPUT_SERVER, 'SERVER_NAME')

．.． 检查$_SERVER['HTTP_HOST']值(最终从请求的主机HTTP报头派生)是否与$_SERVER['SERVER_NAME']匹配。

现在，我使用超全局语言来解释我的示例，但这只是因为有些人不熟悉关于filter_input_array()的INPUT_GET、INPUT_POST和INPUT_SERVER。

The bottom line is, I do not handle POST requests on my server unless all four conditions are met. Hence, in terms of POST requests, failure to provide an HTTP host header (presence tested for earlier) spells doom for strict HTTP 1.0 browsers. Moreover, the requested host must match the value for ServerName in the httpd.conf, and, by extention, the value for $_SERVER('SERVER_NAME') in the $_SERVER superglobal. Again, I would be using INPUT_SERVER with the PHP filter functions, but you catch my drift.

请记住，Apache经常在标准重定向中使用ServerName(例如，将URL后面的斜杠去掉:例如，http://www.example.com变成http://www.example.com/)，即使您没有使用URL重写。

我使用$_SERVER['SERVER_NAME']作为标准，而不是$_SERVER['HTTP_HOST']。在这个问题上有很多争论。$_SERVER['HTTP_HOST']可以是空的，所以这不应该是创建代码约定的基础，比如我上面的公共方法。但是，仅仅因为它们都是集合并不能保证它们是相等的。测试是最好的方法(记住Apache版本和PHP版本)。

$_SERVER['SERVER_NAME']基于您的web服务器配置。 $_SERVER['HTTP_HOST']是基于来自客户端的请求。

请注意，如果你想使用IPv6，你可能想使用HTTP_HOST而不是SERVER_NAME。如果输入http://[::1]/，则环境变量如下:

HTTP_HOST = [::1]
SERVER_NAME = ::1

这意味着，如果你做一个mod_rewrite，你可能会得到一个糟糕的结果。SSL重定向示例:

# SERVER_NAME will NOT work - Redirection to https://::1/
RewriteRule .* https://%{SERVER_NAME}/

# HTTP_HOST will work - Redirection to https://[::1]/
RewriteRule .* https://%{HTTP_HOST}/

这只适用于在没有主机名的情况下访问服务器。