关闭phpinfo模块技巧与安全过滤方法

本文深入探讨了如何安全地屏蔽或过滤 phpinfo() 函数输出中的敏感信息，强调直接调用该函数会严重暴露 PHP 版本、扩展列表、环境变量和配置路径等攻击者可利用的关键情报；文章指出前端隐藏完全无效，真正可靠的做法是根本不上原始输出，而是通过 output buffering 捕获后用正则精准剔除“Loaded Modules”“Environment”“PHP Variables”等高危区块，同时推荐改用 php_ini_loaded_file()、extension_loaded() 等更可控的替代方案，并在 Web 服务器层主动拦截相关请求，为开发者提供了一套兼顾实用性与安全性的纵深防御策略。

phpinfo() 输出中如何过滤掉危险模块信息

直接调用 phpinfo() 会暴露 PHP 版本、已加载扩展、环境变量、配置路径等敏感信息，攻击者可据此针对性构造漏洞利用。不能靠前端 JS 隐藏或 CSS 遮盖——这些对爬虫和 curl 请求完全无效。唯一可靠方式是**不输出、不生成、不传递**原始 phpinfo() 内容。

用 output buffering + 正则过滤敏感区块（最常用）

PHP 原生不提供“只显示某几项”的 phpinfo() 参数，但可通过捕获输出后清洗实现局部屏蔽。注意：正则需匹配 HTML 结构，且不同 PHP 版本输出格式略有差异（如 PHP 8.0+ 表格 class 名含 phpinfobox，旧版多为 center 或无 class）。

ob_start();
phpinfo(INFO_MODULES | INFO_GENERAL); // 只输出模块与基础信息，减少冗余
$html = ob_get_clean();
<p>// 过滤掉 "Loaded Modules" 表格（含所有扩展名）、"Environment" 表格、"PHP Variables" 表格
$html = preg_replace('#</p><h2>Loaded Modules</h2>.<em>?<table[^>]</em>>.<em>?#is', '', $html);
$html = preg_replace('#<h2>Environment</h2>.</em>?<table[^>]<em>>.</em>?#is', '', $html);
$html = preg_replace('#<h2>PHP Variables</h2>.<em>?<table[^>]</em>>.*?#is', '', $html);<p>// 清除可能残留的空标题或孤立 </p><hr>
$html = preg_replace('#<h2>[^<]+</h2>\s*<hr>#i', '', $html);
echo $html;

常见坑：
• preg_replace 的 s 修饰符必须加，否则 . 不匹配换行，正则失效
• INFO_ALL 会输出大量额外内容（如 Credits），增大匹配难度，建议按需组合 INFO_* 常量
• 若启用了 output_handler（如 zlib 或 mbstring），需确保 ob 层级未被干扰

改用 php_ini_loaded_file() + extension_loaded() 手动拼接安全信息

彻底规避 phpinfo() 输出风险的方式：放弃它，自己查。适合仅需确认关键扩展是否启用、PHP 主配置路径等有限信息的场景。

• php_ini_loaded_file() 返回当前生效的 php.ini 路径（返回 false 表示无自定义 ini）
• extension_loaded('openssl') 检查扩展是否载入（注意扩展名大小写，如 curl 不是 CURL）
• ini_get('display_errors') 获取单个配置项值，比解析整个 phpinfo 更精准
• 避免调用 getenv() 或 $_SERVER，它们可能泄露 PATH、HOME 等系统路径

例如只展示「PHP 版本 + OpenSSL 是否启用 + 配置文件位置」：

<?php
echo "<h2>Runtime Status</h2>";
echo "<p><strong>PHP Version:</strong> " . PHP_VERSION . "</p>";
echo "<p><strong>OpenSSL:</strong> " . (extension_loaded('openssl') ? 'enabled' : 'disabled') . "</p>";
$ini = php_ini_loaded_file();
echo "<p><strong>php.ini:</strong> " . ($ini ? htmlspecialchars($ini) : 'default') . "</p>";
?>

Web 服务器层拦截 /phpinfo.php 请求（防御纵深）

即使代码层做了过滤，仍建议在 Nginx/Apache 中禁止访问所有含 phpinfo 字样的脚本，属于最小权限原则。

Nginx 示例（放在 server 块内）：

location ~* ^/(phpinfo|info|php\.ini)\.php$ {
    return 403;
}

Apache 示例（.htaccess）：

RedirectMatch 403 ^/(phpinfo|info|php\.ini)\.php$

注意：
• 正则要覆盖常见变体（如 phpinfo2.php、debug_info.php），不能只堵字面量
• 若业务确需临时开启（如运维排查），应配合 IP 白名单或短期 token 验证，而非开放全网

真正难处理的是嵌套在第三方库里的 phpinfo() 调用（比如某些老旧 CMS 的诊断页），这种必须 grep 源码定位并注释掉——自动化过滤无法覆盖运行时动态包含的文件。

理论要掌握，实操不能落！以上关于《关闭phpinfo模块技巧与安全过滤方法》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！