PHP如何查看系统配置？phpinfo使用教程

phpinfo() 是快速查看 PHP 系统配置最直接的工具，但因其无差别暴露扩展、版本、服务器环境、敏感变量及路径信息，极易成为攻击者侦察系统的突破口，生产环境严禁使用；本文详解其高危原因——即便重命名或限制访问，仍面临扫描发现、日志泄露和同机用户信息外泄等风险，并提供安全替代方案（如 ini_get() 和 extension_loaded() 按需查询）及临时调试的最小化风险实践（IP 白名单、即时删除、权限管控），同时强调易被忽视的关键细节：清除 OPcache 与 Web 服务缓存，避免“已删文件仍可访问”的安全隐患。

直接调用 phpinfo() 是最快速查看 PHP 系统配置的方式，但它默认暴露全部信息，生产环境绝对禁止启用。

为什么不能在生产服务器上保留 phpinfo() 页面

因为 phpinfo() 会输出：已加载的扩展、PHP 版本、Web 服务器类型、$_SERVER 全局变量（含真实路径、主机名、IP）、环境变量、数据库连接配置痕迹、甚至 open_basedir 限制范围 —— 这些全是攻击者侦察系统的首选入口。

• 即使页面被重命名（如 debug.php），仍可能被扫描工具发现
• Apache/Nginx 日志中会留下访问记录，容易被关联利用
• 某些共享主机上，phpinfo() 可能泄露同服务器其他用户的路径或配置片段

安全输出部分配置的替代做法

用 ini_get()、extension_loaded() 和 get_loaded_extensions() 按需查关键项，避免全量暴露：

 <?php
echo "<h3>核心配置</h3>";
echo "PHP 版本: " . PHP_VERSION . "<br>";
echo "SAPI: " . PHP_SAPI . "<br>";
echo "内存限制: " . ini_get('memory_limit') . "<br>";
echo "上传最大尺寸: " . ini_get('upload_max_filesize') . "<br>";

echo "<h3>关键扩展</h3>";
foreach (['mysqli', 'pdo_mysql', 'curl', 'openssl'] as $ext) {
    echo "$ext: " . (extension_loaded($ext) ? '✅ 已启用' : '❌ 未加载') . "<br>";
}

echo "<h3>危险设置检查</h3>";
echo "display_errors: " . (ini_get('display_errors') ? '⚠️ 开启（应关闭）' : '✅ 关闭') . "<br>";
echo "expose_php: " . (ini_get('expose_php') ? '⚠️ 开启（应关闭）' : '✅ 关闭') . "<br>";
?>

临时调试时如何最小化风险

如果必须用 phpinfo() 查问题，仅限本地或内网，并加访问控制：

• 文件名不用常见关键词（避开 info.php、test.php）
• 开头强制校验来源 IP：if (!in_array($_SERVER['REMOTE_ADDR'], ['127.0.0.1', '192.168.1.100'])) die('Access denied');
• 使用后立即删除文件，不要提交到 Git
• Linux 下可用 chmod 600 info_debug.php 防止被其他用户读取

真正麻烦的不是怎么显示配置，而是很多人删了 phpinfo() 文件却忘了清理 Web 服务器缓存或 OPcache —— 旧版本页面仍可能被返回。每次改完务必清空 OPcache（opcache_reset()）并重启 PHP-FPM 或 Apache。

今天关于《PHP如何查看系统配置？phpinfo使用教程》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！