应避免直接调用phpinfo(),推荐用output buffering配合正则过滤敏感区块,或改用php_ini_loaded_file()、extension_loaded()等函数手动拼接必要信息,并在web服务器层拦截相关请求。
phpinfo() 输出中如何过滤掉危险模块信息
直接调用 phpinfo() 会暴露 PHP 版本、已加载扩展、环境变量、配置路径等敏感信息,攻击者可据此针对性构造漏洞利用。不能靠前端 JS 隐藏或 CSS 遮盖——这些对爬虫和 curl 请求完全无效。唯一可靠方式是**不输出、不生成、不传递**原始 phpinfo() 内容。
用 output buffering + 正则过滤敏感区块(最常用)
PHP 原生不提供“只显示某几项”的 phpinfo() 参数,但可通过捕获输出后清洗实现局部屏蔽。注意:正则需匹配 HTML 结构,且不同 PHP 版本输出格式略有差异(如 PHP 8.0+ 表格 class 名含 phpinfobox,旧版多为 center 或无 class)。
ob_start();
phpinfo(INFO_MODULES | INFO_GENERAL); // 只输出模块与基础信息,减少冗余
$html = ob_get_clean();
<p>// 过滤掉 "Loaded Modules" 表格(含所有扩展名)、"Environment" 表格、"PHP Variables" 表格
$html = preg_replace('#<h2>Loaded Modules</h2>.<em>?<table[^>]</em>>.<em>?</table>#is', '', $html);
$html = preg_replace('#<h2>Environment</h2>.</em>?<table[^>]<em>>.</em>?</table>#is', '', $html);
$html = preg_replace('#<h2>PHP Variables</h2>.<em>?<table[^>]</em>>.*?</table>#is', '', $html);</p><p>// 清除可能残留的空标题或孤立 <hr />
$html = preg_replace('#<h2>[^<]+</h2>\s*<hr />#i', '', $html);
echo $html;常见坑:
• preg_replace 的 s 修饰符必须加,否则 . 不匹配换行,正则失效
• INFO_ALL 会输出大量额外内容(如 Credits),增大匹配难度,建议按需组合 INFO_* 常量
• 若启用了 output_handler(如 zlib 或 mbstring),需确保 ob 层级未被干扰
改用 php_ini_loaded_file() + extension_loaded() 手动拼接安全信息
彻底规避 phpinfo() 输出风险的方式:放弃它,自己查。适合仅需确认关键扩展是否启用、PHP 主配置路径等有限信息的场景。
立即学习“PHP免费学习笔记(深入)”;
-
php_ini_loaded_file()返回当前生效的php.ini路径(返回false表示无自定义 ini) -
extension_loaded('openssl')检查扩展是否载入(注意扩展名大小写,如curl不是CURL) -
ini_get('display_errors')获取单个配置项值,比解析整个 phpinfo 更精准 - 避免调用
getenv()或$_SERVER,它们可能泄露 PATH、HOME 等系统路径
例如只展示「PHP 版本 + OpenSSL 是否启用 + 配置文件位置」:
<?php
echo "<h2>Runtime Status</h2>";
echo "<p><strong>PHP Version:</strong> " . PHP_VERSION . "</p><div class="aritcle_card flexRow">
<div class="artcardd flexRow">
<a class="aritcle_card_img" href="/ai/1461" title="VIVA"><img
src="https://img.php.cn/upload/ai_manual/000/000/000/175680148246307.png" alt="VIVA" onerror="this.onerror='';this.src='/static/lhimages/moren/morentu.png'" ></a>
<div class="aritcle_card_info flexColumn">
<a href="/ai/1461" title="VIVA">VIVA</a>
<p>一个免费的AI创意视觉设计平台</p>
</div>
<a href="/ai/1461" title="VIVA" class="aritcle_card_btn flexRow flexcenter"><b></b><span>下载</span> </a>
</div>
</div>";
echo "<p><strong>OpenSSL:</strong> " . (extension_loaded('openssl') ? 'enabled' : 'disabled') . "</p>";
$ini = php_ini_loaded_file();
echo "<p><strong>php.ini:</strong> " . ($ini ? htmlspecialchars($ini) : 'default') . "</p>";
?>Web 服务器层拦截 /phpinfo.php 请求(防御纵深)
即使代码层做了过滤,仍建议在 Nginx/Apache 中禁止访问所有含 phpinfo 字样的脚本,属于最小权限原则。
Nginx 示例(放在 server 块内):
location ~* ^/(phpinfo|info|php\.ini)\.php$ {
return 403;
}Apache 示例(.htaccess):
RedirectMatch 403 ^/(phpinfo|info|php\.ini)\.php$
注意:
• 正则要覆盖常见变体(如 phpinfo2.php、debug_info.php),不能只堵字面量
• 若业务确需临时开启(如运维排查),应配合 IP 白名单或短期 token 验证,而非开放全网
真正难处理的是嵌套在第三方库里的 phpinfo() 调用(比如某些老旧 CMS 的诊断页),这种必须 grep 源码定位并注释掉——自动化过滤无法覆盖运行时动态包含的文件。
