因为脚本从访问者那里得到$_SERVER['HTTP_ACCEPT_LANGUAGE']，所以它可以是任何东西。那么我如何验证它呢？什么是可以接受的？
要获取字符串中的第一种语言，请执行以下操作：
substr($_SERVER["HTTP_ACCEPT_LANGUAGE"],0,2)

例如

$user_lang= split(",",$_SERVER["HTTP_ACCEPT_LANGUAGE"]);
$language = $user_lang[0];

// header injection.
if(stripos($language, 'Content-Type') !== FALSE ) { exit; }