应避免直接调用phpinfo(),推荐用output buffering配合正则过滤敏感区块,或改用php_ini_loaded_file()、extension_loaded()等函数手动拼接必要信息,并在Web服务器层拦截相关请求。
phpinfo() 输出中如何过滤掉危险模块信息
直接调用 phpinfo() 会暴露 PHP 版本、已加载扩展、环境变量、配置路径等敏感信息,攻击者可据此针对性构造漏洞利用。不能靠前端 js 隐藏或 css 遮盖——这些对爬虫和 curl 请求完全无效。唯一可靠方式是**不输出、不生成、不传递**原始 phpinfo() 内容。
用 output buffering + 正则过滤敏感区块(最常用)
PHP 原生不提供“只显示某几项”的 phpinfo() 参数,但可通过捕获输出后清洗实现局部屏蔽。注意:正则需匹配 html 结构,且不同 PHP 版本输出格式略有差异(如 PHP 8.0+ 表格 class 名含 phpinfobox,旧版多为 center 或无 class)。
ob_start(); phpinfo(INFO_MODULES | INFO_GENERAL); // 只输出模块与基础信息,减少冗余 $html = ob_get_clean(); // 过滤掉 "Loaded Modules" 表格(含所有扩展名)、"Environment" 表格、"PHP Variables" 表格 $html = preg_replace('#
Loaded Modules
.?]>.?
#is', '', $html); $html = preg_replace('#Environment
.?]>.?
#is', '', $html); $html = preg_replace('#PHP Variables
.?]>.*?
#is', '', $html);// 清除可能残留的空标题或孤立
$html = preg_replace('#[^<]+
s*
#i', '', $html); echo $html;常见坑:
• preg_replace 的 s 修饰符必须加,否则 . 不匹配换行,正则失效
• INFO_ALL 会输出大量额外内容(如 Credits),增大匹配难度,建议按需组合 INFO_* 常量
• 若启用了 output_handler(如 zlib 或 mbstring),需确保 ob 层级未被干扰
改用 php_ini_loaded_file() + extension_loaded() 手动拼接安全信息
彻底规避 phpinfo() 输出风险的方式:放弃它,自己查。适合仅需确认关键扩展是否启用、PHP 主配置路径等有限信息的场景。
立即学习“PHP免费学习笔记(深入)”;
-
php_ini_loaded_file()返回当前生效的php.ini路径(返回false表示无自定义 ini) -
extension_loaded('openssl')检查扩展是否载入(注意扩展名大小写,如curl不是CURL) -
ini_get('display_errors')获取单个配置项值,比解析整个 phpinfo 更精准 - 避免调用
getenv()或$_SERVER,它们可能泄露 PATH、HOME 等系统路径
例如只展示「PHP 版本 + OpenSSL 是否启用 + 配置文件位置」:
Runtime Status"; echo "PHP Version: " . PHP_VERSION . "
"; echo "OpenSSL: " . (extension_loaded('openssl') ? 'enabled' : 'disabled') . "
"; $ini = php_ini_loaded_file(); echo "php.ini: " . ($ini ? htmlspecialchars($ini) : 'default') . "
"; ?>
Web 服务器层拦截 /phpinfo.php 请求(防御纵深)
即使代码层做了过滤,仍建议在 nginx/apache 中禁止访问所有含 phpinfo 字样的脚本,属于最小权限原则。
Nginx 示例(放在 server 块内):
location ~* ^/(phpinfo|info|php.ini).php$ { return 403; }Apache 示例(.htaccess):
RedirectMatch 403 ^/(phpinfo|info|php.ini).php$注意:
• 正则要覆盖常见变体(如 phpinfo2.php、debug_info.php),不能只堵字面量
• 若业务确需临时开启(如运维排查),应配合 IP 白名单或短期 Token 验证,而非开放全网
真正难处理的是嵌套在第三方库里的 phpinfo() 调用(比如某些老旧 cms 的诊断页),这种必须 grep 源码定位并注释掉——自动化过滤无法覆盖运行时动态包含的文件。