短链接目标域名校验方法及防注入技巧

本文深入剖析了短链接服务中域名校验的关键安全陷阱，指出仅依赖字符串匹配（如 strpos）极易被 @xxx：https://... 等畸形输入绕过，导致恶意链接注入；转而推荐采用 PHP 原生 parse_url() 进行结构化语义解析，精准提取并比对标准化主机名，天然抵御协议混淆、大小写干扰、前缀伪造和多层嵌套等攻击手法，兼具高安全性、零依赖与高性能，是构建可信短链系统不可或缺的底层防御实践。

本文介绍一种基于 PHP parse_url() 的健壮 URL 域名校验方法，替代易被绕过的字符串匹配逻辑，确保仅允许指定域名（如 myydomain.com）的合法 URL 创建短链，有效拦截 @xxx：https://... 等畸形输入。

本文介绍一种基于 PHP `parse_url()` 的健壮 URL 域名校验方法，替代易被绕过的字符串匹配逻辑，确保仅允许指定域名（如 myydomain.com）的合法 URL 创建短链，有效拦截 `@xxx：https://...` 等畸形输入。

在构建短链接服务时，仅靠 strpos($url, 'myydomain.com') 进行模糊匹配存在严重安全缺陷——攻击者可通过在真实 URL 前添加任意字符（如 @ryui：https://myydomain.com/...）、插入空格、使用全角符号、拼接多段 URL 等方式绕过检测，导致非法或恶意链接写入数据库。

根本原因在于：strpos 是纯文本扫描，不理解 URL 结构。它无法区分“myydomain.com 是完整主机名”还是“myydomain.com 仅是某段垃圾文本中的子串”。

✅ 正确做法是解析 URL 语义结构，提取并比对标准化的主机名（host）。PHP 内置函数 parse_url() 正为此而生：

function denyNonSite($url): bool
{
    $host = parse_url($url, PHP_URL_HOST);
    // 若解析失败（返回 false）或主机名不匹配，则拒绝
    return $host !== 'myydomain.com';
}

该函数具备以下关键优势：

• ✅ 结构化校验：parse_url(..., PHP_URL_HOST) 仅返回协议后、路径前的标准主机名（如 myydomain.com），自动忽略 URL 前缀、注释、编码干扰；
• ✅ 天然防御畸形输入：对 @ryui：https://myydomain.com/...、http://evil.com?redirect=https://myydomain.com/ 等非标准格式，parse_url 返回 false，使 false !== 'myydomain.com' 为 true，即直接拒绝；
• ✅ 避免协议/大小写陷阱：parse_url 自动归一化，HTTPS://MYDOMAIN.COM/path 仍能正确解析出 mydomain.com（注意：域名本身不区分大小写，但建议统一小写比对）；
• ✅ 零依赖、高性能：无需正则或第三方库，原生函数开销极低。

⚠️ 注意事项：

• 实际部署前，请将示例中的 'myydomain.com' 替换为你的真实主域名（不含 http:// 或 www. 前缀）；
• 若需支持子域名（如 app.myydomain.com），可改用 str_ends_with($host, '.myydomain.com') || $host === 'myydomain.com'；
• 强烈建议在数据库写入前同时校验协议（如仅允许 https）和路径合法性（如禁止 javascript:、data: 协议），形成纵深防御；
• 前端校验不可信，此函数必须在服务端调用，且应在业务逻辑最外层（如 API 入口或表单提交处理）执行。

总结：URL 校验不是字符串搜索问题，而是语义解析问题。抛弃 strpos，拥抱 parse_url，是保障短链接服务安全性的基础一步。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《短链接目标域名校验方法及防注入技巧》文章吧，也可关注golang学习网公众号了解相关技术文章。