PHP探针隐藏信息配置技巧

大家好，今天本人给大家带来文章《PHP探针隐藏敏感信息设置方法》，文中内容主要涉及到，如果你对文章方面的知识点感兴趣，那就请各位朋友继续看下去吧~希望能真正帮到你们，谢谢！

应过滤 phpinfo() 输出而非禁用或删除：通过 ob_start() 捕获输出，再用正则清洗 DOCUMENT_ROOT 等敏感字段，既保功能又防信息泄露。

PHP探针默认会直接暴露 phpinfo() 中的大量敏感信息，比如服务器路径、已加载扩展、环境变量、数据库配置残留、$_SERVER 全局数组内容等。不加处理就上传到生产环境，等于把服务器“体检报告”公开挂在网上。

为什么不能直接删 phpinfo() 调用

很多探针（如雅黑、Lamp、OneinStack 自带探针）核心逻辑依赖 phpinfo() 输出解析，直接注释或删除会导致功能异常甚至白屏。真正要做的不是屏蔽整个函数，而是截断/过滤其输出中危险字段。

• disable_functions 里禁用 phpinfo 会导致探针报错退出，且部分探针会 fallback 到读取 /proc 或执行 php -v，反而引入新风险
• 仅靠 .htaccess 或 Nginx location 规则限制访问路径，无法防止内部调用或误传备份文件
• 某些探针会把 phpinfo() 结果缓存为静态 HTML，若未清理，旧文件仍可被直接访问

用 ob_get_contents() + 正则过滤关键字段

这是最稳妥的实操方式：保留 phpinfo() 执行，但捕获输出后清洗再输出。适用于所有主流探针源码修改（以常见雅黑探针为例）。

找到探针主文件中类似 phpinfo(); 的调用位置，在它前后包裹输出控制：

ob_start();
phpinfo();
$phpinfo = ob_get_contents();
ob_end_clean();

// 过滤敏感字段
$phpinfo = preg_replace('/<tr>[^]*>DOCUMENT_ROOT[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/</tr><tr>[^]*>SCRIPT_FILENAME[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/</tr><tr>[^]*>PATH_TRANSLATED[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/</tr><tr>[^]*>HTTP_HOST[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/</tr><tr>[^]*>SERVER_ADDR[^]*>([^/i', '', $phpinfo);

echo $phpinfo;
<ul><li>正则需匹配完整 HTML 行结构，避免误删其他字段；<code>i</code> 标志确保大小写不敏感</li>
<li>重点过滤：<code>DOCUMENT_ROOT</code>、<code>SCRIPT_FILENAME</code>、<code>SERVER_ADDR</code>、<code>HTTP_HOST</code>、<code>PATH_TRANSLATED</code> —— 这些是路径泄露和 SSRF 风险源头</li>
<li>不要过滤 <code>PHP Version</code> 或 <code>Loaded Extensions</code>，否则影响探针基础功能判断</li>
</ul><h3>禁用危险模块与扩展配置项</h3>
<p>有些敏感信息并非来自 <code>phpinfo()</code>，而是由扩展自身输出（例如 <code>exif_read_data()</code> 可能泄露图片原始路径），或通过 <code>php.ini</code> 暴露（如 <code>display_errors = On</code> 会把错误堆栈打在页面上）。</p>
<ul><li>检查 <code>php.ini</code> 中是否启用 <code>exif</code>、<code>fileinfo</code> 等可能读取元数据的扩展，非必要可关闭：<code>extension=exif.so</code> → 注释掉</li>
<li>确认 <code>display_errors = Off</code>、<code>log_errors = On</code>、<code>error_log = /var/log/php_errors.log</code></li>
<li>禁用 <code>allow_url_fopen = Off</code> 和 <code>allow_url_include = Off</code>，防止探针被用于远程文件包含测试</li>
<li>如果探针含“执行命令”功能（如 ping、curl 测试），务必删除对应代码块，这类功能在生产环境毫无必要且极度危险</li>
</ul><p>改完别忘了清空 OPCache（<code>opcache_reset()</code>）或重启 PHP-FPM；还要检查探针是否自带“一键清除”按钮——有些会生成临时 <code>info.php</code> 文件，删完主文件不代表风险解除。</p><p>以上就是《PHP探针隐藏信息配置技巧》的详细内容，更多关于php探针怎么用的资料请关注golang学习网公众号！</p></tr>