$_SERVER

$HTTP_SERVER_VARS [veraltet, nicht empfohlen]

$_SERVER -- $HTTP_SERVER_VARS [veraltet, nicht empfohlen] — Informationen über Server und Ausführungsumgebung

Beschreibung

$_SERVER ist ein Array, das Informationen wie Header, Pfade und die verschiedenen Wege, das Skript anzusprechen. Die Einträge in diesem Array werden vom Webserver erstellt. Es gibt keine Garantie dafür, dass jeder Webserver alle möglichen Einträge unterstützt - Server können einige weglassen oder andere Einträge unterstützen, die hier nicht aufgeführt sind. Das meint, die meisten der Variablen werden in der» CGI 1.1-Spezifikation ausgewiesen, daher sollten Sie diese als von Ihrem Webserver unterstützt erwarten können.

$HTTP_SERVER_VARS enthält anfangs die selben Informationen, ist aber kein Superglobal. (Beachten Sie, dass $HTTP_SERVER_VARS und $_SERVER unterschiedliche Variablen sind und von PHP daher entsprechend behandelt werden.)

Indizes

Es kann sein, dass Sie die folgenden Elemente in $_SERVER vorfinden. Beachten Sie, dass einige davon, sofern vorhanden, nur verfügbar sind oder einen sinnvollen Wert haben, wenn PHP auf der Kommandozeile läuft.

'PHP_SELF'

Der Dateiname des aktuell ausgeführten Skripts, relativ zum Document Root. Beispielsweise enthält $_SERVER['PHP_SELF'] in einem Skript, das über die Adresse http://example.com/test.php/foo.bar aufgerufen wird, den Wert /test.php/foo.bar/. Die Konstante __FILE__ enthält den vollständigen Pfad und Dateinamen der aktuellen (z.B. via include eingebundenen) Datei. Läuft PHP als Kommandozeilenprogramm, enthält diese Variable seit PHP 4.3.0 den Namen des Skripts. Davor war die Variable nicht verfügbar.

'argv'

Array der an das Skript übergebenen Argumente. Wenn das Skript auf der Kommandozeile ausgeführt wird, erhalten Sie auf diesem Weg einen an die Sprache C angelehnten Zugriff auf die Kommandozeilenparameter. Wird das Skript via GET aufgerufen, enthält die Variable den Querystring.

'argc'

Enthält die Anzahl der per Kommandozeile an das Skript übergebenen Parameter (sofern das Skript auf der Kommandozeile ausgeführt wird).

'GATEWAY_INTERFACE'

Enthält die Version der vom Server verwendete CGI-Spezifikation, z. B. 'CGI/1.1'.

'SERVER_ADDR'

Die IP-Adresse des Servers, auf dem das aktuelle Skript ausgeführt wird.

'SERVER_NAME'

Der Hostname des Servers, auf dem das aktuelle Skript ausgeführt wird. Wenn das Skript auf einem Virtuellen Host läuft, wird dieser Wert vom Virtuellen Host bestimmt.

'SERVER_SOFTWARE'

Identifikation der verwendeten Server-Software, die bei einer Antwort auf den eingegangenen Request verwendet wird.

'SERVER_PROTOCOL'

Name und Versionsnummer des verwendeten Übertragungsprotokolls, mittels dessen die aktuelle Seite aufgerufen wurde, z. B. 'HTTP/1.0'.

'REQUEST_METHOD'

Enthält die für den Zugriff auf die Seite verwendete Requestmethode, z. B. 'GET', 'HEAD', 'POST' oder 'PUT'.

Hinweis:
Ist die Requestmethode HEAD, wird ein PHP-Skript beendet, nachdem die Header gesendet wurden (sofern Ausgaben ohne die Verwendung des Ausgabepuffers (output buffering) erzeugt werden).

'REQUEST_TIME'

Der Timestamp des Zeitpunkts, an dem der Request eintraf. Verfügbar seit PHP 5.1.0.

'QUERY_STRING'

Sofern vorhanden, der Querystring, mittels dessen auf die Seite zugegriffen wurde.

'DOCUMENT_ROOT'

Das Document Root-Verzeichnis, unter dem das aktuelle Skript ausgeführt wird, so wie es in der Konfiguration des Servers festgelegt wurde.

'HTTP_ACCEPT'

Enthält den Inhalt des Accept:-Headers des aktuellen Requests, sofern ein solcher gesendet wurde.

'HTTP_ACCEPT_CHARSET'

Enthält den Inhalt des Accept-Charset:-Headers des aktuellen Requests, sofern ein solcher gesendet wurde. Beispiel: 'iso-8859-1,*,utf-8'.

'HTTP_ACCEPT_ENCODING'

Enthält den Inhalt des Accept-Encoding:-Headers des aktuellen Requests, sofern ein solcher gesendet wurde. Beispiel: 'gzip'.

'HTTP_ACCEPT_LANGUAGE'

Enthält den Inhalt des Accept-Language:-Headers des aktuellen Requests, sofern ein solcher gesendet wurde. Beispiel: 'en'.

'HTTP_CONNECTION'

Enthält den Inhalt des Connection:-Headers des aktuellen Requests, sofern ein solcher gesendet wurde. Beispiel: 'Keep-Alive'.

'HTTP_HOST'

Enthält den Inhalt des Host:-Headers des aktuellen Requests, sofern ein solcher gesendet wurde.

'HTTP_REFERER'

Sofern vorhanden, die Adresse der Seite, auf der der Benutzer einen Link auf die aktuell aufgerufene Seite angeklickt hat. Dieser Wert wird vom Browser des Benutzers gesetzt. Nicht alle Programme unterstützen diesen Wert, manche offerieren als Feature sogar die Möglichkeit, den Wert von HTTP_REFERER selbst zu bestimmen. Kurz, Sie können diesem Wert nicht wirklich vertrauen.

'HTTP_USER_AGENT'

Enthält den Inhalt des User-Agent:-Headers des aktuellen Requests, sofern ein solcher gesendet wurde. Dies ist eine Zeichenkette, die das für den Zugriff auf die Seite verwendete Programm anzeigt. Ein typisches Beispiel ist Mozilla/4.5 [en] (X11; U; Linux 2.2.9 i586). Sie können diesen Wert unter anderem mittels der Funktion get_browser() dafür nutzen, den Inhalt Ihrer Seite auf die Möglichkeiten des jeweiligen Browsers zuzuschneiden.

'HTTPS'

Wird auf einen nicht-leeren Wert gesetzt, wenn das Skript via HTTPS aufgerufen wurde.

Hinweis: Beachten Sie bei der Verwendung von ISAPI unter IIS, dass der Wert auf off gesetzt wird, wenn der Request nicht mittels HTTPS erfolgte.

'REMOTE_ADDR'

Die IP-Adresse, von der aus der Benutzer die aktuelle Seite ansieht.

'REMOTE_HOST'

Der Name des Hosts, von dem aus der Benutzer die aktulle Seite ansieht. Der Auflösung der IP-Adresse (Reverse DNS Lookup) basiert auf der REMOTE_ADDR des Benutzers.

Hinweis: Ihr Webserver muss darauf konfiguriert sein, diese Variable zu erzeugen. Im Apache benötigen Sie dazu zum Beispiel die Direktive HostnameLookups On innerhalb der httpd.conf. Lesen Sie dazu auch die Beschreibung der Funktion gethostbyaddr().

'REMOTE_PORT'

Der vom Rechner des Benutzers verwendete Port, um mit dem Webserver zu kommunizieren.

'SCRIPT_FILENAME'

Der absolute Pfad des aktuell ausgeführten Skripts.

Hinweis:
Wenn ein Skript als CLI mit einem relativen Pfad wie file.php oder ../file.php ausgeführt wird, enthält $_SERVER['SCRIPT_FILENAME'] den vom Benutzer angegebenen relativen Pfad.

'SERVER_ADMIN'

Der Wert, der für die SERVER_ADMIN-Direktive (für Apache) im Konfigurationsfile des Webservers eingestellt wurde. Wenn das Skript auf einem Virtuellen Host läuft, wird der für diesen Virtuellen Host definierte Wert verwendet.

'SERVER_PORT'

Der Port, der auf dem Server vom Webserver für die Kommunikation genutzt wird. In einer Standardumgebung ist dies '80'; wenn Sie beispielsweise SSL verwenden, wird dieser Wert auf den Port geändert, über den Sie Ihre verschlüsselte HTTP-Kommunikation abwickeln.

'SERVER_SIGNATURE'

Ein String, der die Version der verwendeten Serversoftware und den Namen des Virtuellen Hosts enthält, der, sofern die Option auf dem Server aktiviert ist, an die servergenerierte Seiten angefügt wird.

'PATH_TRANSLATED'

Auf dem Dateisystem (nicht dem Document Root!) basierender Pfad zum aktuellen Skript, nachdem der Server ein Virtual-to-Real-Mapping durchgeführt hat.

Hinweis: Seit PHP 4.3.2 wird PATH_TRANSLATED nicht länger implizit unter der Apache 2 SAPI gesetzt, im Gegensatz zur Situation unter Apache 1, bei dem diese Variable automatisch auf den Wert von SCRIPT_FILENAME gesetzt wird, sofern Apache nicht selbst einen Wert einfügt. Diese Änderung entspricht dem in der CGI-Spezifikation beschriebenen Verhalten, nach dem PATH_TRANSLATED nur dann gesetzt sein sollte, wenn PAT_INFO definiert ist. Apache 2-Benutzer können die Direktive AcceptPathInfo = On in der httpd.conf verwenden, um einen Wert für PATH_INFO zu definieren.

'SCRIPT_NAME'

Enthält den Pfad zum aktuellen Skript. Dies ist nützlich für Seiten, die auf sich selbst verweisen sollen. Die Konstante __FILE__ enthält den vollständigen Pfad und Dateinamen der aktuellen (z.B. via include eingebundenen) Datei.

'REQUEST_URI'

Der URI, der angegeben wurde, um auf die aktuelle Seite zuzugreifen, beispielsweise '/index.html'.

'PHP_AUTH_DIGEST'

Wenn PHP als Modul unter Apache läuft und Digest HTTP Authentication verwendet wird, wird diese Variable mit dem Inhalt des vom Client gesendeten 'Authorization'-Headers gefüllt, den Sie für eine adäquate Validierung nutzen sollten.

'PHP_AUTH_USER'

Wenn PHP als Modul unter Apache oder IIS (ISAPI bei PHP 5) läuft und HTTP authentication verwendet wird, wird diese Variable mit dem vom Benutzer angegebenen Usernamen gefüllt.

'PHP_AUTH_PW'

Wenn PHP als Modul unter Apache oder IIS (ISAPI bei PHP 5) läuft und HTTP authentication verwendet wird, wird diese Variable mit dem vom Benutzer angegebenen Passwort gefüllt.

'AUTH_TYPE'

Wenn PHP als Modul unter Apache läuft, wird diese Variable mit dem verwendeten HTTP-Authentifizierungsmechanismus gefüllt.

'PATH_INFO'

Enthält, sofern vorhanden, den Teil des Pfadnamens hinter dem Namen des PHP-Skripts, aber vor dem Query-String. Wenn zum Beispiel das aktuelle Skript mittels dem URL http://www.example.com/php/path_info.php/some/stuff?foo=bar aufgerufen wird, würde $_SERVER['PATH_INFO'] /some/stuff enthalten.

'ORIG_PATH_INFO'

Originalversion von 'PATH_INFO' vor der Verarbeitung durch PHP.

Changelog

Version Beschreibung

4.1.0 Einführung von $_SERVER als Ablösung der bis dahin existierenden $HTTP_SERVER_VARS.

Version	Beschreibung
4.1.0	Einführung von `$_SERVER` als Ablösung der bis dahin existierenden `$HTTP_SERVER_VARS`.

Beispiele

Beispiel #1 $_SERVER-Beispiel


<?php
echo $_SERVER['SERVER_NAME'];
?>

Das oben gezeigte Beispiel erzeugt eine ähnliche Ausgabe wie:

www.example.com

Anmerkungen

Hinweis:
Dies ist eine 'Superglobale' oder automatisch globale Variable. Dies bedeutet, dass sie innerhalb des Skripts in jedem Geltungsbereich sichtbar ist. Es ist nicht nötig, sie mit global $variable bekannt zu machen, um aus Funktionen oder Methoden darauf zuzugreifen.

Siehe auch

Die Filter-Erweiterung

36 BenutzerBeiträge:
- Beiträge aktualisieren...

Jamie
2.03.2011 22:18


Note that on real paths, aliases are not resolved



$_SERVER["DOCUMENT_ROOT"] => /var/services/web/mysite

$_SERVER["SCRIPT_FILENAME"] => /var/services/web/mysite/admin/products.php



(but __FILE__ => /volume1/web/mysite/admin/inc/includeFile.inc.php)

Use realpath to resolve the $_SERVER value.



Virtual paths also have some differences:

$_SERVER["SCRIPT_NAME"] => /admin/products.php (virtual path)

$_SERVER["PHP_SELF"] => /admin/products.php/someExtraStuff (virtual path)



SCRIPT_NAME is defined in the CGI 1.1 specification, PHP_SELF is created by PHP itself. See http://php.about.com/od/learnphp/qt/_SERVER_PHP.htm for tests.

sainthyoga2003 at gmail dot com
25.02.2011 21:37


$_SERVER["SCRIPT_FILENAME"] returns the path including the filename, like __DIR__

Josh Fremer
20.12.2010 19:47


HTTPS



Set to a non-empty value if the script was queried through the HTTPS protocol.



Note: Note that when using ISAPI with IIS, the value will be off if the request was not made through the HTTPS protocol.



=-=-=



To clarify this, the value is the string "off", so a specific non-empty value rather than an empty value as in Apache.

rulerof at gmail dot com
17.11.2010 19:12


I needed to get the full base directory of my script local to my webserver, IIS 7 on Windows 2008.





I ended up using this:





<?php


function GetBasePath() {


    return substr($_SERVER['SCRIPT_FILENAME'], 0, strlen($_SERVER['SCRIPT_FILENAME']) - strlen(strrchr($_SERVER['SCRIPT_FILENAME'], "\\")));


}


?>





And it returned C:\inetpub\wwwroot\<applicationfolder> as I had hoped.

Stefano (info at sarchittu dot org)
12.11.2010 15:07


A way to get the absolute path of your page, independent from the site position (so works both on local machine and on server without setting anything) and from the server OS (works both on Unix systems and Windows systems).



The only parameter it requires is the folder in which you place this script

So, for istance, I'll place this into my SCRIPT folder, and I'll write SCRIPT word length in $conflen



<?php

$conflen=strlen('SCRIPT');

$B=substr(__FILE__,0,strrpos(__FILE__,'/'));

$A=substr($_SERVER['DOCUMENT_ROOT'], strrpos($_SERVER['DOCUMENT_ROOT'], $_SERVER['PHP_SELF']));

$C=substr($B,strlen($A));

$posconf=strlen($C)-$conflen-1;

$D=substr($C,1,$posconf);

$host='http://'.$_SERVER['SERVER_NAME'].'/'.$D;

?>



$host will finally contain the absolute path.

Anonymous
12.11.2010 13:22


Use Strict-Transport-Security (STS) to force the use of SSL.

<?php

$use_sts = TRUE;



if ($use_sts && isset($_SERVER['HTTPS']) {

  header('Strict-Transport-Security: max-age=500');

} elseif ($use_sts && !isset($_SERVER['HTTPS']) {

  header('Status-Code: 301');

  header('Location: https://'.$_SERVER["HTTP_HOST"].$_SERVER['REQUEST_URI']);

}

?>

dtomasiewicz at gmail dot com
15.08.2010 5:03


To get an associative array of HTTP request headers formatted similarly to get_headers(), this will do the trick:



<?php

/**

 * Transforms $_SERVER HTTP headers into a nice associative array. For example:

 *   array(

 *       'Referer' => 'example.com',

 *       'X-Requested-With' => 'XMLHttpRequest'

 *   )

 */

function get_request_headers() {

    $headers = array();

    foreach($_SERVER as $key => $value) {

        if(strpos($key, 'HTTP_') === 0) {

            $headers[str_replace(' ', '-', ucwords(str_replace('_', ' ', strtolower(substr($key, 5)))))] = $value;

        }

    }

    return $headers;

}

?>

wbeaumo1 at gmail dot com
14.06.2010 5:43


Don't forget $_SERVER['HTTP_COOKIE']. It contains the raw value of the 'Cookie' header sent by the user agent.

kamazee at gmail dot com
15.04.2010 15:41


$_SERVER['DOCUMENT_ROOT'] in different environments may has trailing slash or not, so be careful when including files from $_SERVER['DOCUMENT_ROOT']:

<?php

include(dirname($_SERVER['DOCUMENT_ROOT']) . DIRECTORY_SEPARATOR . 'file.php')

?>

php at isnoop dot net
1.04.2010 19:38


Use the apache SetEnv directive to set arbitrary $_SERVER variables in your vhost or apache config.



SetEnv varname "variable value"

piana at pyrohawk dot com
18.03.2010 6:26


There are two different variables that I find very useful in Caching and similar.



$_SERVER['REQUEST_URI'] and $_SERVER['REQUEST_URL']



URI provides the entire request path (/directory/file.ext?query=string)

URL provides the request path, without the query string (/directory/file.ext)

It also differs from __FILE__ in that it's not the file name.  So, if you go to /directory/anotherfile.ext and get silently redirected to file.ext, these variables are anotherfile.ext, while __FILE__ is still file.ext.

Megan Mickelson
23.02.2010 0:36


It makes sense to want to paste the $_SERVER['REQUEST_URI'] on to a page (like on a footer), but be sure to clean it up first with htmlspecialchars() otherwise it poses a cross-site scripting vulnerability.





htmlspecialchars($_SERVER['REQUEST_URI']);





e.g.


http://www.example.com/foo?<script>...





becomes


http://www.example.com/foo?&lt;script&gt;...

admin at NOSpAM dot sinfocol dot org
15.01.2010 7:31


I was testing with the $_SERVER variable and some request method, and I found that with apache I can put an arbitrary method.



For example, I have an script called "server.php" in my example webpage with the next code:



<?php

echo $_SERVER['REQUEST_METHOD'];

?>



And I made this request:

c:\>nc -vv www.example.com 80

example.com [x.x.x.x] 80 (http) open

ArbitratyMethod /server.php HTTP/1.1

Host: wow.sinfocol.org

Connection: Close



The response of the server is the next:

HTTP/1.1 200 OK

Date: Fri, 15 Jan 2010 05:14:09 GMT

Server: Apache

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html



ArbitratyMethod



So, be carefully when include the $_SERVER['REQUEST_METHOD'] in any script, this kind of "bug" is old and could be dangerous.

mirko dot steiner at slashdevslashnull dot de
24.10.2009 11:43


<?php



// RFC 2616 compatible Accept Language Parser

// http://www.ietf.org/rfc/rfc2616.txt, 14.4 Accept-Language, Page 104

// Hypertext Transfer Protocol -- HTTP/1.1



foreach (explode(',', $_SERVER['HTTP_ACCEPT_LANGUAGE']) as $lang) {

    $pattern = '/^(?P<primarytag>[a-zA-Z]{2,8})'.

    '(?:-(?P<subtag>[a-zA-Z]{2,8}))?(?:(?:;q=)'.

    '(?P<quantifier>\d\.\d))?$/';



    $splits = array();



    printf("Lang:,,%s''\n", $lang);

    if (preg_match($pattern, $lang, $splits)) {

        print_r($splits);

    } else {

        echo "\nno match\n";

    }

}



?>



example output:



Google Chrome 3.0.195.27 Windows xp



Lang:,,de-DE''

Array

(

    [0] => de-DE

    [primarytag] => de

    [1] => de

    [subtag] => DE

    [2] => DE

)

Lang:,,de;q=0.8''

Array

(

    [0] => de;q=0.8

    [primarytag] => de

    [1] => de

    [subtag] => 

    [2] => 

    [quantifier] => 0.8

    [3] => 0.8

)

Lang:,,en-US;q=0.6''

Array

(

    [0] => en-US;q=0.6

    [primarytag] => en

    [1] => en

    [subtag] => US

    [2] => US

    [quantifier] => 0.6

    [3] => 0.6

)

Lang:,,en;q=0.4''

Array

(

    [0] => en;q=0.4

    [primarytag] => en

    [1] => en

    [subtag] => 

    [2] => 

    [quantifier] => 0.4

    [3] => 0.4

)

Lord Mac
15.10.2009 4:56


An even *more* improved version...



<?php

phpinfo(32);

?>

steve at sc-fa dot com
17.09.2009 21:20


If you are serving from behind a proxy server, you will almost certainly save time by looking at what these $_SERVER variables do on your machine behind the proxy.   



$_SERVER['HTTP_X_FORWARDED_FOR'] in place of $_SERVER['REMOTE_ADDR']



$_SERVER['HTTP_X_FORWARDED_HOST'] and 

$_SERVER['HTTP_X_FORWARDED_SERVER'] in place of (at least in our case,) $_SERVER['SERVER_NAME']

cupy at email dot cz
20.08.2009 17:24


Tech note:

$_SERVER['argc'] and $_SERVER['argv'][] has some funny behaviour,

used from linux (bash) commandline, when called like 

"php ./script_name.php 0x020B" 

there is everything correct, but 

"./script_name.php 0x020B"

is not correct - "0" is passed instead of "0x020B" as $_SERVER['argv'][1] - see the script below.

Looks like the parameter is not passed well from bash to PHP.

(but, inspected on the level of bash, 0x020B is understood well as $1)



try this example:



------------->8------------------

cat ./script_name.php

#! /usr/bin/php



if( $_SERVER['argc'] == 2)

  {

    // funny... we have to do this trick to pass e.g. 0x020B from parameters

    // ignore this: "PHP Notice:  Undefined offset:  2 in ..."

    $EID = $_SERVER['argv'][1] + $_SERVER['argv'][2] + $_SERVER['argv'][3];

  }

 else

   {        // default

     $EID = 0x0210; // PPS failure

   }

jarrod at squarecrow dot com
11.08.2009 5:31


$_SERVER['DOCUMENT_ROOT'] is incredibly useful especially when working in your development environment. If you're working on large projects you'll likely be including a large number of files into your pages. For example:





<?php


//Defines constants to use for "include" URLS - helps keep our paths clean





        define("REGISTRY_CLASSES",  $_SERVER['DOCUMENT_ROOT']."/SOAP/classes/");


        define("REGISTRY_CONTROLS", $_SERVER['DOCUMENT_ROOT']."/SOAP/controls/");





        define("STRING_BUILDER",     REGISTRY_CLASSES. "stringbuilder.php");


        define("SESSION_MANAGER",     REGISTRY_CLASSES. "sessionmanager.php");


        define("STANDARD_CONTROLS",    REGISTRY_CONTROLS."standardcontrols.php");


?>





In development environments, you're rarely working with your root folder, especially if you're running PHP locally on your box and using DOCUMENT_ROOT is a great way to maintain URL conformity. This will save you hours of work preparing your application for deployment from your box to a production server (not to mention save you the headache of include path failures).

Richard York
9.07.2009 20:19


Not documented here is the fact that $_SERVER is populated with some pretty useful information when accessing PHP via the shell.



 ["_SERVER"]=>

  array(24) {

    ["MANPATH"]=>

    string(48) "/usr/share/man:/usr/local/share/man:/usr/X11/man"

    ["TERM"]=>

    string(11) "xterm-color"

    ["SHELL"]=>

    string(9) "/bin/bash"

    ["SSH_CLIENT"]=>

    string(20) "127.0.0.1 41242 22"

    ["OLDPWD"]=>

    string(60) "/Library/WebServer/Domains/www.example.com/private"

    ["SSH_TTY"]=>

    string(12) "/dev/ttys000"

    ["USER"]=>

    string(5) "username"

    ["MAIL"]=>

    string(15) "/var/mail/username"

    ["PATH"]=>

    string(57) "/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin:/usr/X11/bin"

    ["PWD"]=>

    string(56) "/Library/WebServer/Domains/www.example.com/www"

    ["SHLVL"]=>

    string(1) "1"

    ["HOME"]=>

    string(12) "/Users/username"

    ["LOGNAME"]=>

    string(5) "username"

    ["SSH_CONNECTION"]=>

    string(31) "127.0.0.1 41242 10.0.0.1 22"

    ["_"]=>

    string(12) "/usr/bin/php"

    ["__CF_USER_TEXT_ENCODING"]=>

    string(9) "0x1F5:0:0"

    ["PHP_SELF"]=>

    string(10) "Shell.php"

    ["SCRIPT_NAME"]=>

    string(10) "Shell.php"

    ["SCRIPT_FILENAME"]=>

    string(10) "Shell.php"

    ["PATH_TRANSLATED"]=>

    string(10) "Shell.php"

    ["DOCUMENT_ROOT"]=>

    string(0) ""

    ["REQUEST_TIME"]=>

    int(1247162183)

    ["argv"]=>

    array(1) {

      [0]=>

      string(10) "Shell.php"

    }

    ["argc"]=>

    int(1)

  }

chris
3.07.2009 1:01


A table of everything in the $_SERVER array can be found near the bottom of the output of phpinfo();

pudding06 at gmail dot com
2.05.2009 23:44


Here's a simple, quick but effective way to block unwanted external visitors to your local server:





<?php


// only local requests


if ($_SERVER['REMOTE_ADDR'] !== '127.0.0.1') die(header("Location: /"));


?>





This will direct all external traffic to your home page. Of course you could send a 404 or other custom error. Best practice is not to stay on the page with a custom error message as you acknowledge that the page does exist. That's why I redirect unwanted calls to (for example) phpmyadmin.

dragon[dot]dionysius[at]gmail[dot]com
29.04.2009 19:53


I've updated the function of my previous poster and putted it into my class.



<?php

    /**

     * Checking HTTP-Header for language

     * needed for various system classes

     * 

     * @return    boolean    true/false 

     */

    private function _checkClientLanguage()

    {    

        $langcode = (!empty($_SERVER['HTTP_ACCEPT_LANGUAGE'])) ? $_SERVER['HTTP_ACCEPT_LANGUAGE'] : '';

        $langcode = (!empty($langcode)) ? explode(";", $langcode) : $langcode;

        $langcode = (!empty($langcode['0'])) ? explode(",", $langcode['0']) : $langcode;

        $langcode = (!empty($langcode['0'])) ? explode("-", $langcode['0']) : $langcode;

        return $langcode['0'];

    }

?>



Please note, you have to check additional the result! Because the header may be missing or another possible thing, it is malformed. So check the result with a list with languages you support and perhaps you have to load a default language.



<?php



// if result isn't one of my defined languages

            if(!in_array($lang, $language_list)) {

                $lang = $language_default; // load default



?>



My HTTP_ACCEPT_LANGUAGE string:

FF3: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 

IE7: de-ch



So, take care of it!

dalys at chokladboll dot se
15.04.2009 11:03


If you want en, sv-SE, da, es etc. to be returned from $_SERVER['HTTP_ACCEPT_LANGUAGE'] you can use this function:



<?php

function detectlanguage() {

    $langcode = explode(";", $_SERVER['HTTP_ACCEPT_LANGUAGE']);

    $langcode = explode(",", $langcode['0']);

    return $langcode['0'];

    }



$language = detectlanguage();



echo "You have chosen $language as your language in your web browser.";

?>

Vladimir Kornea
14.03.2009 2:06


1. All elements of the $_SERVER array whose keys begin with 'HTTP_' come from HTTP request headers and are not to be trusted.



2. All HTTP headers sent to the script are made available through the $_SERVER array, with names prefixed by 'HTTP_'.



3. $_SERVER['PHP_SELF'] is dangerous if misused. If login.php/nearly_arbitrary_string is requested, $_SERVER['PHP_SELF'] will contain not just login.php, but the entire login.php/nearly_arbitrary_string. If you've printed $_SERVER['PHP_SELF'] as the value of the action attribute of your form tag without performing HTML encoding, an attacker can perform XSS attacks by offering users a link to your site such as this:



<a href='http://www.example.com/login.php/"><script type="text/javascript">...</script><span a="'>Example.com</a>



The javascript block would define an event handler function and bind it to the form's submit event. This event handler would load via an <img> tag an external file, with the submitted username and password as parameters.



Use $_SERVER['SCRIPT_NAME'] instead of $_SERVER['PHP_SELF']. HTML encode every string sent to the browser that should not be interpreted as HTML, unless you are absolutely certain that it cannot contain anything that the browser can interpret as HTML.

info at mtprod dot com
23.01.2009 11:13


On Windows IIS 7 you must use $_SERVER['LOCAL_ADDR'] rather than $_SERVER['SERVER_ADDR'] to get the server's IP address.

jonbarnett at gmail dot com
24.11.2008 6:13


It's worth noting that $_SERVER variables get created for any HTTP request headers, including those you might invent:



If the browser sends an HTTP request header of:

X-Debug-Custom: some string



Then:



<?php

$_SERVER['HTTP_X_DEBUG_CUSTOM']; // "some string"

?>



There are better ways to identify the HTTP request headers sent by the browser, but this is convenient if you know what to expect from, for example, an AJAX script with custom headers.



Works in PHP5 on Apache with mod_php.  Don't know if this is true from other environments.

jette at nerdgirl dot dk
1.11.2008 20:43


Windows running IIS v6 does not include $_SERVER['SERVER_ADDR']



If you need to get the IP addresse, use this instead:



<?php

$ipAddress = gethostbyname($_SERVER['SERVER_NAME']);

?>

geoffrey dot hoffman at gmail dot com
26.10.2008 2:13


If you are looking at $_SERVER['HTTP_USER_AGENT'] to determine whether your user is on a mobile device, you may want to visit these resources:



http://wurfl.sourceforge.net/



http://www.zytrax.com/tech/web/mobile_ids.html

Thomas Urban
22.10.2008 10:19


Maybe you're missing information on $_SERVER['CONTENT_TYPE'] or $_SERVER['CONTENT_LENGTH'] as I did. On POST-requests these are available in addition to those listed above.

Taomyn
12.10.2008 16:21


'HTTPS'

    Set to a non-empty value if the script was queried through the HTTPS protocol. Note that when using ISAPI with IIS, the value will be off if the request was not made through the HTTPS protocol. 



Does the same for IIS7 running PHP as a Fast-CGI application.

Tonin
16.09.2008 19:43


When using the $_SERVER['SERVER_NAME'] variable in an apache virtual host setup with a ServerAlias directive, be sure to check the UseCanonicalName apache directive.  If it is On, this variable will always have the apache ServerName value.  If it is Off, it will have the value given by the headers sent by the browser.



Depending on what you want to do the content of this variable, put in On or Off.

Andrew B
9.09.2008 1:26


Please note on Windows/IIS - the variable 'USER_AUTH' will return the username/identity of the user accessing the page, i.e. if anonymous access is off, you would normally get back "$domain\$username".

jeff at example dot com
12.08.2008 20:24


Note that, in Apache 2, the server settings will affect the variables available in $_SERVER. For example, if you are using SSL, the following directive will dump SSL-related status information, along with the server certificate and client certificate (if present) into the $_SERVER variables:



SSLOptions +StdEnvVars +ExportCertData

silverquick at gmail dot com
6.08.2008 2:55


I think the HTTPS element will only be present under Apache 2.x. It's not in the list of "special" variables here:

http://httpd.apache.org/docs/1.3/mod/mod_rewrite.html#RewriteCond

But it is here:

http://httpd.apache.org/docs/2.0/mod/mod_rewrite.html#rewritecond

danny at orionrobots dot co dot uk
31.07.2008 23:25


It is worth noting here that if you use $_SERVER['REQUEST_URI'] with a rewrite rule, the original, not rewritten URI will be presented.

emailfire at gmail dot com
26.05.2008 16:49


REQUEST_URI is useful, but if you want to get just the file name use:



<?php

$this_page = basename($_SERVER['REQUEST_URI']);

if (strpos($this_page, "?") !== false) $this_page = reset(explode("?", $this_page));

?>

Ein Service von Reinhard Neidl - Webprogrammierung.