由于脚本从访问者获得$_SERVER['HTTP_ACCEPT_LANGUAGE'],因此它可以是任何内容。那我怎么验证呢?什么是可以接受的?
要获取我使用的字符串中的第一种语言:
substr($_SERVER["HTTP_ACCEPT_LANGUAGE"],0,2)
答案 0 :(得分:1)
例如
$user_lang= split(",",$_SERVER["HTTP_ACCEPT_LANGUAGE"]);
$language = $user_lang[0];
// header injection.
if(stripos($language, 'Content-Type') !== FALSE ) { exit; }