我做了很多搜索，还阅读了PHP $ _SERVER文档。对于在我的网站中使用的简单链接定义，我的PHP脚本使用哪个权限？

$_SERVER['SERVER_NAME'] 是基于您的Web服务器的配置文件（在我的情况下是Apache2），并根据一些指令而变化：（1）VirtualHost，（2）ServerName，（3）UseCanonicalName等。

$_SERVER['HTTP_HOST'] 基于客户的要求。

因此，在我看来，为了使我的脚本尽可能兼容而使用的正确方法是$_SERVER['HTTP_HOST']。这个假设是否正确？

后续评论：

我想在读完这篇文章之后我有点偏执，并注意到有些人说“他们不会相信任何一个$_SERVER变种”：

http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/

http://php.net/manual/en/reserved.variables.server.php#89567（评论：Vladimir Kornea 14-Mar-2009 01:06）

显然，讨论主要是关于$_SERVER['PHP_SELF']为什么你不应该在表单action属性中使用它而没有适当的转义以防止XSS攻击。

我对上述原始问题的结论是$_SERVER['HTTP_HOST']，即使在表单中使用，也可以“安全”地使用网站上的所有链接，而不必担心XSS攻击。

如果我错了，请纠正我。