PHP探针权限设置教程详解

你在学习文章相关的知识吗？本文《PHP探针访问权限设置方法》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

PHP探针文件默认不可直接放服务器根目录，因其无内置鉴权，易导致敏感信息泄露；应移出Web根目录，通过带Token和IP校验的入口脚本间接调用，并配合Web服务器配置禁止直接访问。

PHP探针文件默认不能直接放服务器根目录

绝大多数 PHP 探针（如 phpinfo.php、tz.php、各类一键检测脚本）本质是裸露系统信息的诊断页，没有内置鉴权逻辑。一旦上传到 Web 可访问路径，任何知道 URL 的人都能查看服务器配置、PHP 版本、扩展列表、环境变量甚至 $_SERVER 中的敏感路径。这不是“要不要设权限”的问题，而是“不设就等于公开暴露”。

• 不要用 .htaccess 简单 deny all 后再靠 IP 白名单——很多主机不支持或规则被忽略
• 避免把探针放在 /public、/www、/htdocs 这类默认 Web 根下
• 更稳妥的做法：放在 Web 根目录之外，通过 CLI 或带参数的代理脚本间接调用（见下一条）

用 require + 权限判断替代直接访问探针文件

真正的权限控制应发生在 PHP 层，而不是靠 Web 服务器拦截。典型做法是写一个带校验的入口脚本，只在满足条件时才 require 探针主体。

 <?php
// check.php —— 唯一可公开访问的入口
if (!isset($_GET['token']) || $_GET['token'] !== 'a1b2c3d4') {
    http_response_code(403);
    exit('Forbidden');
}
if (!in_array($_SERVER['REMOTE_ADDR'], ['127.0.0.1', '192.168.1.100'])) {
    http_response_code(403);
    exit('Access denied from this IP');
}
require 'phpinfo.php'; // 此文件不再直接可访问
?>

• phpinfo.php 文件本身应移出 Web 根目录（例如放到 /home/user/tools/phpinfo.php），或至少加 .php 后缀并确保 Web 服务器不解析非标准后缀
• Token 不要硬编码在生产环境，可用 $_ENV['PROBE_TOKEN'] 从环境变量读取
• IP 判断仅适用于内网或固定出口场景；公网部署必须配合登录态或一次性令牌

Apache/Nginx 下禁止直接访问探针文件的配置项

即使做了 PHP 层校验，也建议叠加 Web 服务器级防护，防止绕过或误传。

Apache（放在 .htaccess 或虚拟主机配置中）：

<Files "phpinfo.php">
    Require all denied
</Files>

Nginx（server 块内）：

location ~* ^/(phpinfo|tz|probe)\.php$ {
    deny all;
}

• 注意 Nginx 的正则匹配需覆盖所有常见探针文件名变体（info.php、test.php、env.php）
• Apache 的 对大小写敏感，PHPINFO.PHP 可能逃逸，建议加 配合正则
• 这些规则只阻断 HTTP 访问，不影响 CLI 或 require 调用

探针输出中敏感信息的过滤处理

有些探针会打印 $_ENV、php_ini_loaded_file()、getcwd() 等结果，可能泄露绝对路径或数据库凭证。不能只靠访问控制，还得清理内容。

例如修改 phpinfo.php 中关键段落：

<?php
ob_start();
phpinfo();
$html = ob_get_clean();
<p>// 过滤掉包含敏感关键词的行
$html = preg<em>replace('/<tr>.*?(?:PWD|HOME|PATH|DB</em>|SECRET|KEY).*?<\/tr>/i', '', $html);
echo $html;
?></p>

• 正则过滤只是补救，优先从源头避免输出——比如不用 phpinfo(INFO_ENVIRONMENT)，改用 phpinfo(INFO_GENERAL | INFO_MODULES)
• 某些探针会主动 dump $_SERVER，务必检查源码并注释或删减相关 print_r() 行
• 如果用了 Composer 包管理的探针（如 spatie/php-version-checker），确认其未启用调试模式

实际部署时最容易被忽略的是：探针文件权限设为 644 且放在 Web 目录下，同时又没做任何 PHP 层校验——这种组合等于把服务器快照贴在门口。真正安全的探针，从来不是“藏起来”，而是“没授权就根本不会执行”。

以上就是《PHP探针权限设置教程详解》的详细内容，更多关于php探针怎么用的资料请关注golang学习网公众号！