PHP探针如何设置访问权限_PHP探针设置访问权限方法【要点】

PHP探针文件默认不可直接放服务器根目录，因其无内置鉴权，易导致敏感信息泄露；应移出Web根目录，通过带Token和IP校验的入口脚本间接调用，并配合Web服务器配置禁止直接访问。

PHP探针文件默认不能直接放服务器根目录

绝大多数 PHP 探针（如 phpinfo.php、tz.php、各类一键检测脚本）本质是裸露系统信息的诊断页，没有内置鉴权逻辑。一旦上传到 Web 可访问路径，任何知道 URL 的人都能查看服务器配置、PHP 版本、扩展列表、环境变量甚至 $_SERVER 中的敏感路径。这不是“要不要设权限”的问题，而是“不设就等于公开暴露”。

• 不要用 .htaccess 简单 deny all 后再靠 IP 白名单——很多主机不支持或规则被忽略
• 避免把探针放在 /public、/www、/htdocs 这类默认 Web 根下
• 更稳妥的做法：放在 Web 根目录之外，通过 CLI 或带参数的代理脚本间接调用（见下一条）

用 require + 权限判断替代直接访问探针文件

真正的权限控制应发生在 PHP 层，而不是靠 Web 服务器拦截。典型做法是写一个带校验的入口脚本，只在满足条件时才 require 探针主体。

• phpinfo.php 文件本身应移出 Web 根目录（例如放到 /home/user/tools/phpinfo.php），或至少加 .php 后缀并确保 Web 服务器不解析非标准后缀
• Token 不要硬编码在生产环境，可用 $_ENV['PROBE_TOKEN'] 从环境变量读取
• IP 判断仅适用于内网或固定出口场景；公网部署必须配合登录态或一次性令牌

Apache/Nginx 下禁止直接访问探针文件的配置项

即使做了 PHP 层校验，也建议叠加 Web 服务器级防护，防止绕过或误传。

Apache（放在 .htaccess 或虚拟主机配置中）：

立即学习“PHP免费学习笔记（深入）”；

无涯·问知

无涯·问知，是一款基于星环大模型底座，结合个人知识库、企业知识库、法律法规、财经等多种知识源的企业级垂直领域问答产品

下载

    Require all denied

Nginx（server 块内）：

location ~* ^/(phpinfo|tz|probe)\.php$ {
    deny all;
}

• 注意 Nginx 的正则匹配需覆盖所有常见探针文件名变体（info.php、test.php、env.php）
• Apache 的 对大小写敏感，PHPINFO.PHP 可能逃逸，建议加 配合正则
• 这些规则只阻断 HTTP 访问，不影响 CLI 或 require 调用

探针输出中敏感信息的过滤处理

有些探针会打印 $_ENV、php_ini_loaded_file()、getcwd() 等结果，可能泄露绝对路径或数据库凭证。不能只靠访问控制，还得清理内容。

例如修改 phpinfo.php 中关键段落：

// 过滤掉包含敏感关键词的行
$html = pregreplace('/.*?(?:PWD|HOME|PATH|DB|SECRET|KEY).*?<\/tr>/i', '', $html);
echo $html;
?>

• 正则过滤只是补救，优先从源头避免输出——比如不用 phpinfo(INFO_ENVIRONMENT)，改用 phpinfo(INFO_GENERAL | INFO_MODULES)
• 某些探针会主动 dump $_SERVER，务必检查源码并注释或删减相关 print_r() 行
• 如果用了 Composer 包管理的探针（如 spatie/php-version-checker），确认其未启用调试模式

实际部署时最容易被忽略的是：探针文件权限设为 644 且放在 Web 目录下，同时又没做任何 PHP 层校验——这种组合等于把服务器快照贴在门口。真正安全的探针，从来不是“藏起来”，而是“没授权就根本不会执行”。