不能直接修改phpinfo()输出项,因其仅支持整数参数控制大类分组,无法指定具体字段;可靠替代方案是用ini_get()、extension_loaded()等函数手动拼接所需信息。
直接修改 phpinfo() 的输出项是不可能的——PHP 内置函数不支持参数过滤或字段定制,它始终输出全部模块信息。但你可以用其他方式「模拟」一个精简版 phpinfo,只显示你需要的内容。
为什么不能直接传参给 phpinfo()
phpinfo() 只接受一个可选整数参数(如 INFO_MODULES、INFO_CONFIGURATION),用于控制输出**大类分组**,无法指定具体字段(比如只显示 memory_limit 或 opcache.enable)。传错值或试图传数组/字符串会报 Warning: phpinfo() expects parameter 1 to be int。
常见误操作包括:
- 写成
phpinfo(['memory_limit', 'upload_max_filesize'])—— 语法错误 - 用
ob_get_contents()+str_replace()过滤 html —— 不可靠,结构易变且可能误删 - 依赖第三方扩展(如
phpinfo_filter)—— 无官方支持,兼容性差
用 ini_get() 和 extension_loaded() 手动拼接关键项
这是最可控、最轻量的方式:跳过 phpinfo() 的 HTML 渲染逻辑,直接读取配置和运行时状态,自己组织输出。
立即学习“PHP免费学习笔记(深入)”;
示例:只查 PHP 版本、内存限制、OPcache 状态、pdo 支持情况
Custom PHP Status"; echo "Version: " . PHP_VERSION . "
"; echo "memory_limit: " . ini_get('memory_limit') . "
"; echo "opcache.enable: " . (ini_get('opcache.enable') ? 'On' : 'Off') . "
"; echo "PDO loaded: " . (extension_loaded('pdo') ? 'Yes' : 'No') . "
"; ?>
优势:
- 无 HTML 结构依赖,不怕 PHP 版本升级导致
phpinfo()输出变化 - 可嵌入任意页面,无需单独
info.php文件 - 方便加权限控制(例如只对本地 IP 或特定 Token 开放)
用 get_defined_constants(true) 和 get_loaded_extensions() 补充模块细节
如果需要类似 phpinfo(INFO_MODULES) 的效果,但只列你关心的扩展,避免输出 sysvshm、posix 这类冷门项:
ssl', 'curl', 'gd', 'mbstring', 'json', 'pdo_mysql']; $loaded = array_intersect($wanted, get_loaded_extensions()); echo "Key Extensions
"; foreach ($loaded as $ext) { echo "- " . $ext . " v" . (extension_loaded($ext) ? phpversion($ext) : '?') . "
"; } echo "
"; ?>注意:phpversion('some_ext') 并非所有扩展都返回有效值(如 json 常返回空),建议先用 extension_loaded() 判定存在性。
生产环境务必禁用原始 phpinfo() 页面
暴露完整 phpinfo() 是典型安全风险:泄露绝对路径、已加载模块、disable_functions 列表、甚至 Web 服务器用户(USER 环境变量)。
推荐做法:
- 上线前删除所有
info.php文件 - 用 nginx/apache 配置禁止访问含
phpinfo字样的文件:location ~* /.*info.php$ { return 403; } - 若需临时调试,改用带校验的脚本,例如要求 URL 包含时间戳哈希:
?token=sha256(202405+secret)
真正难的不是“怎么隐藏”,而是“哪些字段其实不该出现在任何输出里”——比如 $_SERVER['DOCUMENT_ROOT']、ini_get('display_errors'),这些在自定义输出中也容易被无意泄露。