如何屏蔽phpinfo部分模块_隐藏phpinfo特定区域做法【过滤】

应避免直接调用phpinfo()，推荐用output buffering配合正则过滤敏感区块，或改用php_ini_loaded_file()、extension_loaded()等函数手动拼接必要信息，并在Web服务器层拦截相关请求。

phpinfo() 输出中如何过滤掉危险模块信息

直接调用 phpinfo() 会暴露 PHP 版本、已加载扩展、环境变量、配置路径等敏感信息，攻击者可据此针对性构造漏洞利用。不能靠前端 JS 隐藏或 CSS 遮盖——这些对爬虫和 curl 请求完全无效。唯一可靠方式是**不输出、不生成、不传递**原始 phpinfo() 内容。

用 output buffering + 正则过滤敏感区块（最常用）

PHP 原生不提供“只显示某几项”的 phpinfo() 参数，但可通过捕获输出后清洗实现局部屏蔽。注意：正则需匹配 HTML 结构，且不同 PHP 版本输出格式略有差异（如 PHP 8.0+ 表格 class 名含 phpinfobox，旧版多为 center 或无 class）。

ob_start();
phpinfo(INFO_MODULES | INFO_GENERAL); // 只输出模块与基础信息，减少冗余
$html = ob_get_clean();
// 过滤掉 "Loaded Modules" 表格（含所有扩展名）、"Environment" 表格、"PHP Variables" 表格
$html = preg_replace('#
Loaded Modules
.?]>.?#is', '', $html);
$html = preg_replace('#
Environment
.?]>.?#is', '', $html);
$html = preg_replace('#
PHP Variables
.?]>.*?#is', '', $html);
// 清除可能残留的空标题或孤立 

$html = preg_replace('#
[^<]+
\s*
#i', '', $html);
echo $html;

常见坑：
• preg_replace 的 s 修饰符必须加，否则 . 不匹配换行，正则失效
• INFO_ALL 会输出大量额外内容（如 Credits），增大匹配难度，建议按需组合 INFO_* 常量
• 若启用了 output_handler（如 zlib 或 mbstring），需确保 ob 层级未被干扰

改用 php_ini_loaded_file() + extension_loaded() 手动拼接安全信息

彻底规避 phpinfo() 输出风险的方式：放弃它，自己查。适合仅需确认关键扩展是否启用、PHP 主配置路径等有限信息的场景。

立即学习“PHP免费学习笔记（深入）”；

• php_ini_loaded_file() 返回当前生效的 php.ini 路径（返回 false 表示无自定义 ini）
• extension_loaded('openssl') 检查扩展是否载入（注意扩展名大小写，如 curl 不是 CURL）
• ini_get('display_errors') 获取单个配置项值，比解析整个 phpinfo 更精准
• 避免调用 getenv() 或 $_SERVER，它们可能泄露 PATH、HOME 等系统路径

例如只展示「PHP 版本 + OpenSSL 是否启用 + 配置文件位置」：

Runtime Status";
echo "
PHP Version: " . PHP_VERSION . "
";
echo "
OpenSSL: " . (extension_loaded('openssl') ? 'enabled' : 'disabled') . "

							

								
								

									Vimi
									
Vimi是商汤科技发布的全球首个可控人物的AI视频生成大模型
								
								下载 
							
						
";
$ini = php_ini_loaded_file();
echo "
php.ini: " . ($ini ? htmlspecialchars($ini) : 'default') . "
";
?>

Web 服务器层拦截 /phpinfo.php 请求（防御纵深）

即使代码层做了过滤，仍建议在 Nginx/Apache 中禁止访问所有含 phpinfo 字样的脚本，属于最小权限原则。

Nginx 示例（放在 server 块内）：

location ~* ^/(phpinfo|info|php\.ini)\.php$ {
    return 403;
}

Apache 示例（.htaccess）：

RedirectMatch 403 ^/(phpinfo|info|php\.ini)\.php$

注意：
• 正则要覆盖常见变体（如 phpinfo2.php、debug_info.php），不能只堵字面量
• 若业务确需临时开启（如运维排查），应配合 IP 白名单或短期 token 验证，而非开放全网

真正难处理的是嵌套在第三方库里的 phpinfo() 调用（比如某些老旧 CMS 的诊断页），这种必须 grep 源码定位并注释掉——自动化过滤无法覆盖运行时动态包含的文件。