应过滤 phpinfo() 输出而非禁用或删除:通过 ob_start() 捕获输出,再用正则清洗 DOCUMENT_ROOT 等敏感字段,既保功能又防信息泄露。
PHP探针默认会直接暴露 phpinfo() 中的大量敏感信息,比如服务器路径、已加载扩展、环境变量、数据库配置残留、$_SERVER 全局数组内容等。不加处理就上传到生产环境,等于把服务器“体检报告”公开挂在网上。
为什么不能直接删 phpinfo() 调用
很多探针(如雅黑、Lamp、OneinStack 自带探针)核心逻辑依赖 phpinfo() 输出解析,直接注释或删除会导致功能异常甚至白屏。真正要做的不是屏蔽整个函数,而是截断/过滤其输出中危险字段。
-
disable_functions里禁用phpinfo会导致探针报错退出,且部分探针会 fallback 到读取/proc或执行php -v,反而引入新风险 - 仅靠
.htaccess或 Nginxlocation规则限制访问路径,无法防止内部调用或误传备份文件 - 某些探针会把
phpinfo()结果缓存为静态 HTML,若未清理,旧文件仍可被直接访问
用 ob_get_contents() + 正则过滤关键字段
这是最稳妥的实操方式:保留 phpinfo() 执行,但捕获输出后清洗再输出。适用于所有主流探针源码修改(以常见雅黑探针为例)。
找到探针主文件中类似 phpinfo(); 的调用位置,在它前后包裹输出控制:
ob_start();
phpinfo();
$phpinfo = ob_get_contents();
ob_end_clean();
// 过滤敏感字段
$phpinfo = preg_replace('/[^<]*]*>DOCUMENT_ROOT<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>SCRIPT_FILENAME<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>PATH_TRANSLATED<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>HTTP_HOST<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
$phpinfo = preg_replace('/[^<]*]*>SERVER_ADDR<\/td>[^<]*]*>([^<]+)<\/td><\/tr>/i', '', $phpinfo);
echo $phpinfo;
- 正则需匹配完整 HTML 行结构,避免误删其他字段;
i 标志确保大小写不敏感
- 重点过滤:
DOCUMENT_ROOT、SCRIPT_FILENAME、SERVER_ADDR、HTTP_HOST、PATH_TRANSLATED —— 这些是路径泄露和 SSRF 风险源头
- 不要过滤
PHP Version 或 Loaded Extensions,否则影响探针基础功能判断
禁用危险模块与扩展配置项
有些敏感信息并非来自 phpinfo(),而是由扩展自身输出(例如 exif_read_data() 可能泄露图片原始路径),或通过 php.ini 暴露(如 display_errors = On 会把错误堆栈打在页面上)。
- 检查
php.ini 中是否启用 exif、fileinfo 等可能读取元数据的扩展,非必要可关闭:extension=exif.so → 注释掉
- 确认
display_errors = Off、log_errors = On、error_log = /var/log/php_errors.log
- 禁用
allow_url_fopen = Off 和 allow_url_include = Off,防止探针被
用于远程文件包含测试
- 如果探针含“执行命令”功能(如 ping、curl 测试),务必删除对应代码块,这类功能在生产环境毫无必要且极度危险
改完别忘了清空 OPCache(opcache_reset())或重启 PHP-FPM;还要检查探针是否自带“一键清除”按钮——有些会生成临时 info.php 文件,删完主文件不代表风险解除。
