phpinfo()不能直接当探针用,因其暴露敏感信息且HTML输出不稳定难解析;应改用extension_loaded()、function_exists()、ini_get()等内置函数结合运行时验证。
为什么 phpinfo() 不能直接当探针用
很多所谓“PHP探针”只是简单调用 phpinfo() 输出页面,但这会暴露全部配置、扩展路径甚至服务器物理路径,存在严重安全风险;更重要的是,phpinfo() 输出是 HTML 格式,无法被程序稳定解析,字段位置、顺序、是否启用都可能随 PHP 版本或 SAPI 类型(如 FPM vs CLI)变化,导致检测结果误判。
- 禁用
display_errors时,phpinfo()页面可能不显示关键错误模块信息 - 某些托管环境(如 cPanel)会主动过滤或重写
phpinfo()输出中的敏感字段 - 扩展名大小写不一致(如
mysqlivsMySQLi)会导致字符串匹配失败
用 get_loaded_extensions() + extension_loaded() 替代字符串扫描
真实探针应绕过 HTML 解析,直接调用 PHP 内置函数获取运行时状态。比如判断 GD 库是否可用,不要用 strpos($phpinfo_html, 'gd') !== false,而应:
if (extension_loaded('gd') && function_exists('imagecreate')) {
// 真实可用,不只是加载了
}同理,检测 OpenSSL 不仅要看 extension_loaded('openssl'),还要验证 function_exists('openssl_encrypt') —— 某些旧版 OpenSSL 扩展只提供基础函数,不支持 AEAD 模式。
-
get_loaded_extensions()返回的是小写扩展名列表,不依赖phpinfo()输出格式 - 对关键扩展(如
curl、mbstring)建议补测至少一个代表性函数,避免“加载但不可用”假阳性 - CLI 模式下某些扩展默认不加载(如
pdo_mysql),需确认当前 SAPI 类型:php_sapi_name()
内存与超时检测必须结合 ini_get() 和实际测量
探针常把 ini_get('memory_limit') 当作可用内存,但这是配置上限,不是当前剩余。更可靠的方式是:
立即学习“PHP免费学习笔记(深入)”;
$start = memory_get_usage(true);
$str = str_repeat('x', 1024 * 1024); // 分配 1MB
$used = memory_get_usage(true) - $start;
if ($used > 0) {
echo "内存分配正常";
}同样,max_execution_time 可能被 set_time_limit(0) 动态覆盖,探针应执行一段可控耗时操作(如 usleep(50000))并捕获是否被中断。
-
memory_limit值为-1表示无限制,不能直接转成整数参与比较 -
upload_max_filesize和post_max_size需要单位换算(M→ ×1048576,G→ ×1073741824) - 某些共享主机会用
ini_set()锁定关键配置,此时ini_get()返回值可能和 php.ini 实际内容不一致
区分 $_SERVER 中的 CGI/FastCGI 环境变量
探针常通过 $_SERVER['SERVER_SOFTWARE'] 判断 Web 服务器,但这个字段可被伪造或为空。更稳的方式是组合判断:
if (isset($_SERVER['FCGI_ROLE']) ||
(isset($_SERVER['SCRIPT_FILENAME']) &&
strpos($_SERVER['GATEWAY_INTERFACE'], 'CGI') !== false)) {
$sapi = 'fpm';
} elseif (php_sapi_name() === 'cli') {
$sapi = 'cli';
} else {
$sapi = 'apache';
}尤其注意:Nginx + PHP-FPM 环境下,$_SERVER['SERVER_SOFTWARE'] 通常只返回 Nginx 版本,PHP 进程本身并不知道 Apache 是否在反向代理后端。
-
$_SERVER['REQUEST_METHOD']在 CLI 模式下不存在,直接访问会触发 notice - 某些 CDN 或 WAF 会注入额外
$_SERVER字段(如HTTP_X_FORWARDED_FOR),不能作为 SAPI 判定依据 - Windows IIS 下的
php-cgi.exe会设置SERVER_PROTOCOL为HTTP/1.1,但 SAPI 名是cgi-fcgi,需单独处理
准确率提升的关键不在堆砌检测项,而在每个判断都有 fallback 和验证逻辑——比如扩展存在性不只查加载状态,还要试调用;配置值不只读 ini,还要看运行时行为是否匹配。最容易被忽略的是 SAPI 差异和动态配置覆盖,这两点不处理,再全的检测列表也撑不住真实部署环境。
