PHP探针隐藏信息配置技巧
时间:2026-01-28 15:34:52 353浏览 收藏
大家好,今天本人给大家带来文章《PHP探针隐藏敏感信息设置方法》,文中内容主要涉及到,如果你对文章方面的知识点感兴趣,那就请各位朋友继续看下去吧~希望能真正帮到你们,谢谢!
应过滤 phpinfo() 输出而非禁用或删除:通过 ob_start() 捕获输出,再用正则清洗 DOCUMENT_ROOT 等敏感字段,既保功能又防信息泄露。

PHP探针默认会直接暴露 phpinfo() 中的大量敏感信息,比如服务器路径、已加载扩展、环境变量、数据库配置残留、$_SERVER 全局数组内容等。不加处理就上传到生产环境,等于把服务器“体检报告”公开挂在网上。
为什么不能直接删 phpinfo() 调用
很多探针(如雅黑、Lamp、OneinStack 自带探针)核心逻辑依赖 phpinfo() 输出解析,直接注释或删除会导致功能异常甚至白屏。真正要做的不是屏蔽整个函数,而是截断/过滤其输出中危险字段。
disable_functions里禁用phpinfo会导致探针报错退出,且部分探针会 fallback 到读取/proc或执行php -v,反而引入新风险- 仅靠
.htaccess或 Nginxlocation规则限制访问路径,无法防止内部调用或误传备份文件 - 某些探针会把
phpinfo()结果缓存为静态 HTML,若未清理,旧文件仍可被直接访问
用 ob_get_contents() + 正则过滤关键字段
这是最稳妥的实操方式:保留 phpinfo() 执行,但捕获输出后清洗再输出。适用于所有主流探针源码修改(以常见雅黑探针为例)。
找到探针主文件中类似 phpinfo(); 的调用位置,在它前后包裹输出控制:
ob_start();
phpinfo();
$phpinfo = ob_get_contents();
ob_end_clean();
// 过滤敏感字段
$phpinfo = preg_replace('/[^]*>DOCUMENT_ROOT[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/ [^]*>SCRIPT_FILENAME[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/ [^]*>PATH_TRANSLATED[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/ [^]*>HTTP_HOST[^]*>([^/i', '', $phpinfo);
$phpinfo = preg_replace('/ [^]*>SERVER_ADDR[^]*>([^/i', '', $phpinfo);
echo $phpinfo;
- 正则需匹配完整 HTML 行结构,避免误删其他字段;
i 标志确保大小写不敏感
- 重点过滤:
DOCUMENT_ROOT、SCRIPT_FILENAME、SERVER_ADDR、HTTP_HOST、PATH_TRANSLATED —— 这些是路径泄露和 SSRF 风险源头
- 不要过滤
PHP Version 或 Loaded Extensions,否则影响探针基础功能判断
禁用危险模块与扩展配置项
有些敏感信息并非来自 phpinfo(),而是由扩展自身输出(例如 exif_read_data() 可能泄露图片原始路径),或通过 php.ini 暴露(如 display_errors = On 会把错误堆栈打在页面上)。
- 检查
php.ini 中是否启用 exif、fileinfo 等可能读取元数据的扩展,非必要可关闭:extension=exif.so → 注释掉
- 确认
display_errors = Off、log_errors = On、error_log = /var/log/php_errors.log
- 禁用
allow_url_fopen = Off 和 allow_url_include = Off,防止探针被用于远程文件包含测试
- 如果探针含“执行命令”功能(如 ping、curl 测试),务必删除对应代码块,这类功能在生产环境毫无必要且极度危险
改完别忘了清空 OPCache(opcache_reset())或重启 PHP-FPM;还要检查探针是否自带“一键清除”按钮——有些会生成临时 info.php 文件,删完主文件不代表风险解除。
以上就是《PHP探针隐藏信息配置技巧》的详细内容,更多关于php探针怎么用的资料请关注golang学习网公众号!
-
501 收藏
-
501 收藏
-
501 收藏
-
501 收藏
-
501 收藏
-
文章 · php教程 | 19小时前 | 文件上传 · php教程 · $_FILES · 上传安全 · MIME · PHP文件上传 move_uploaded_file $_FILES 文件校验 MIME PHP教程242 收藏
-
134 收藏
-
文章 · php教程 | 6天前 | Redis · 迁移 · session · php教程 · 登录态 · redis session phpredis PHP教程 session.save_handler 分布式登录 回归检查145 收藏
-
199 收藏
-
232 收藏
-
336 收藏
-
178 收藏
-
471 收藏
-
240 收藏
-
文章 · php教程 | 1星期前 | 面向对象 · PHP · PHP8.4 · Property Hooks · 代码重构 · PHP教程 Getter PHP 8.4 Property Hooks setter464 收藏
-
476 收藏
-
229 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 立即学习 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 立即学习 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 立即学习 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 立即学习 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 立即学习 485次学习