php探针应精简为仅显示php版本、sapi类型、启用扩展列表及白名单内的安全$_server项(如server_software、http_user_agent),禁用全量phpinfo(),手动查询关键ini配置,过滤危险路径与调试信息,防止xss和信息泄露。
PHP探针默认显示大量系统、环境、扩展信息,实际部署时多数字段无用,反而暴露敏感细节。精简核心只需保留 $_SERVER 中关键项、PHP 版本、phpinfo() 的指定模块,以及手动过滤掉危险路径和调试开关。
只输出必要 PHP 环境变量
默认 phpinfo() 会打印全部 $_SERVER、$_ENV 和所有扩展配置,其中 DOCUMENT_ROOT、SCRIPT_FILENAME、HTTP_HOST 等可能被用于路径猜测或 SSRF 利用。应改用白名单方式提取:
echo "PHP Version: " . PHP_VERSION . "\n";
echo "SAPI: " . PHP_SAPI . "\n";
echo "Loaded Extensions: " . implode(", ", get_loaded_extensions()) . "\n";
// 只取几个安全且常用的 $_SERVER 值
$whitelist = ['SERVER_SOFTWARE', 'SERVER_NAME', 'HTTP_USER_AGENT', 'REQUEST_TIME_FLOAT'];
foreach ($whitelist as $key) {
if (isset($_SERVER[$key])) {
echo "$key: " . htmlspecialchars($_SERVER[$key]) . "\n";
}
}
-
htmlspecialchars()必须加,防止 XSS(尤其HTTP_USER_AGENT可伪造) - 避免读取
$_SERVER['PWD']、$_SERVER['HOME']、$_SERVER['PATH']等泄露服务器结构 -
REQUEST_TIME_FLOAT比TIME更精确,适合判断响应延迟
禁用 phpinfo() 全量输出,改用参数控制
原生 phpinfo() 不支持字段过滤,但可通过 phpinfo(INFO_MODULES) 等常量限制范围。更稳妥的做法是关闭它,改用 extension_loaded() + ini_get() 手动查:
// 替代 phpinfo(INFO_ALL)
echo "=== Extensions ===\n";
foreach (['curl', 'openssl', 'mbstring', 'json', 'pdo_mysql'] as $ext) {
echo $ext . ": " . (extension_loaded($ext) ? "enabled" : "disabled") . "\n";
}
echo "\n=== Key INI Settings ===\n";
foreach (['memory_limit', 'upload_max_filesize', 'post_max_size', 'max_execution_time'] as $ini) {
echo "$ini = " . ini_get($ini) . "\n";
}
-
phpinfo(INFO_MODULES)仍会输出扩展列表,但不包含配置项,比全量安全 - 直接调用
ini_get()比解析phpinfo()输出更可靠,不受输出缓冲或 HTML 模式干扰 - 不要用
get_cfg_var(),它可能被disable_functions屏蔽
隐藏真实路径与调试信息
探针若部署在生产环境,必须移除所有物理路径输出(如 __DIR__、realpath(__FILE__))、错误堆栈、display_errors = On 提示。常见疏漏点:
立即学习“PHP免费学习笔记(深入)”;
- 检查是否残留
error_reporting(E_ALL); ini_set('display_errors', '1');—— 生产环境必须设为'0' - 避免使用
debug_backtrace()或get_included_files(),它们会暴露完整 include 链 - 用
dirname($_SERVER['SCRIPT_NAME'])替代__DIR__,前者只返回 URL 路径,不暴露磁盘结构 - 所有文件操作(如读取
/proc/version)需加@抑制警告,并判断file_exists()再执行
真正难的不是删字段,而是每次更新 PHP 版本或加新扩展后,忘记同步更新探针白名单——结果某天 exif 或 gd 扩展启用后,探针自动吐出图像处理能力详情,成了攻击面入口。
