应过滤 phpinfo() 输出而非禁用或删除:通过 ob_start() 捕获输出,再用正则清洗 DOCUMENT_ROOT 等敏感字段,既保功能又防信息泄露。
PHP探针默认会直接暴露 phpinfo() 中的大量敏感信息,比如服务器路径、已加载扩展、环境变量、数据库配置残留、$_SERVER 全局数组内容等。不加处理就上传到生产环境,等于把服务器“体检报告”公开挂在网上。
为什么不能直接删 phpinfo() 调用
很多探针(如雅黑、Lamp、OneinStack 自带探针)核心逻辑依赖 phpinfo() 输出解析,直接注释或删除会导致功能异常甚至白屏。真正要做的不是屏蔽整个函数,而是截断/过滤其输出中危险字段。
-
disable_functions里禁用phpinfo会导致探针报错退出,且部分探针会 fallback 到读取/proc或执行php -v,反而引入新风险 - 仅靠
.htaccess或 Nginxlocation规则限制访问路径,无法防止内部调用或误传备份文件 - 某些探针会把
phpinfo()结果缓存为静态 HTML,若未清理,旧文件仍可被直接访问
用 ob_get_contents() + 正则过滤关键字段
这是最稳妥的实操方式:保留 phpinfo() 执行,但捕获输出后清洗再输出。适用于所有主流探针源码修改(以常见雅黑探针为例)。
找到探针主文件中类似 phpinfo(); 的调用位置,在它前后包裹输出控制:
立即学习“PHP免费学习笔记(深入)”;
ob_start();
phpinfo();
$phpinfo = ob_get_contents();
ob_end_clean();
// 过滤敏感字段
$phpinfo = preg_replace('/[^<]*]*>DOCUMENT_ROOT<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>SCRIPT_FILENAME<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>PATH_TRANSLATED<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>HTTP_HOST<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>SERVER_ADDR<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
echo $phpinfo;
- 正则需匹配完整 HTML 行结构,避免误删其他字段;
i 标志确保大小写不敏感
- 重点过滤:
DOCUMENT_ROOT、SCRIPT_FILENAME、SERVER_ADDR、HTTP_HOST、PATH_TRANSLATED —— 这些是路径泄露和 SSRF 风险源头
- 不要过滤
PHP Version 或 Loaded Extensions,否则影响探针基础功能判断
禁用危险模块与扩展配置项
有些敏感信息并非来自 phpinfo(),而是由扩展自身输出(例如 exif_read_data() 可能泄露图片原始路径),或通过 php.ini 暴露(如 display_errors = On 会把错误堆栈打在页面上)。
- 检查
php.ini 中是否启用 exif、fileinfo 等可能读取元数据的扩展,非必要可关闭:extension=exif.so → 注释掉
- 确认
display_errors = Off、log_errors = On、error_log = /var/log/php_errors.log
- 禁用
allow_url_fopen = Off 和 allow_url_include = Off,防止探针被用于远程文件包含测试
- 如果探针含“执行命令”功能(如 ping、curl 测试),务必删除对应代码块,这类功能在生产环境毫无必要且极度危险
改完别忘了清空 OPCache(opcache_reset())或重启 PHP-FPM;还要检查探针是否自带“一键清除”按钮——有些会生成临时 info.php 文件,删完主文件不代表风险解除。
相关文章
PHP探针如何设置访问权限_PHP探针设置访问权限方法【要点】
PHP探针怎样提升检测准确率_PHP探针提升检测准确率技巧【指引】
PHP探针怎样精简显示内容_PHP探针精简显示内容技巧【要点】
PHP探针怎么限制访客地区_PHP探针限制访客地区途径【操作】
PHP探针能否检测Memcached_PHP探针检测Memcached技巧【参考】
本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门AI工具
更多
相关专题
更多
php文件怎么打开
打开php文件步骤:1、选择文本编辑器;2、在选择的文本编辑器中,创建一个新的文件,并将其保存为.php文件;3、在创建的PHP文件中,编写PHP代码;4、要在本地计算机上运行PHP文件,需要设置一个服务器环境;5、安装服务器环境后,需要将PHP文件放入服务器目录中;6、一旦将PHP文件放入服务器目录中,就可以通过浏览器来运行它。
2683
2023.09.01
php怎么取出数组的前几个元素
取出php数组的前几个元素的方法有使用array_slice()函数、使用array_splice()函数、使用循环遍历、使用array_slice()函数和array_values()函数等。本专题为大家提供php数组相关的文章、下载、课程内容,供大家免费下载体验。
1660
2023.10.11
php反序列化失败怎么办
php反序列化失败的解决办法检查序列化数据。检查类定义、检查错误日志、更新PHP版本和应用安全措施等。本专题为大家提供php反序列化相关的文章、下载、课程内容,供大家免费下载体验。
1518
2023.10.11
php怎么连接mssql数据库
连接方法:1、通过mssql_系列函数;2、通过sqlsrv_系列函数;3、通过odbc方式连接;4、通过PDO方式;5、通过COM方式连接。想了解php怎么连接mssql数据库的详细内容,可以访问下面的文章。
952
2023.10.23
php连接mssql数据库的方法
php连接mssql数据库的方法有使用PHP的MSSQL扩展、使用PDO等。想了解更多php连接mssql数据库相关内容,可以阅读本专题下面的文章。
1419
2023.10.23
PHP出现乱码怎么解决
PHP出现乱码可以通过修改PHP文件头部的字符编码设置、检查PHP文件的编码格式、检查数据库连接设置和检查HTML页面的字符编码设置来解决。更多关于php乱码的问题详情请看本专题下面的文章。php中文网欢迎大家前来学习。
1488
2023.11.09
php文件怎么在手机上打开
php文件在手机上打开需要在手机上搭建一个能够运行php的服务器环境,并将php文件上传到服务器上。再在手机上的浏览器中输入服务器的IP地址或域名,加上php文件的路径,即可打开php文件并查看其内容。更多关于php相关问题,详情请看本专题下面的文章。php中文网欢迎大家前来学习。
1306
2023.11.13
热门下载
更多
相关下载
更多
精品课程
更多
相关推荐 /
热门推荐 /
最新课程
最新文章
更多
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
