PHP 5.4+ 支持 phpinfo() 参数控制,老版本不识别会报错;需用 version_compare() 判断版本,仅新版本传 INFO_GENERAL 等常量,并用 ob_start() 捕获输出后正则过滤敏感字段。
PHP 5.4 之前没有 phpinfo() 的参数控制,直接调用会输出全部信息且无法过滤;PHP 5.4+ 支持传入 INFO_ALL、INFO_MODULES 等常量,但老版本不识别这些常量,直接传参会导致致命错误 Warning: phpinfo() expects exactly 0 parameters。兼容写法必须先判断 PHP 版本再决定是否传参。
检查 PHP 版本再决定是否传参
不能硬编码传参,也不能全靠 @ 抑制错误——那样会掩盖真实问题。正确做法是用 version_compare() 判断,只在支持的版本上调用带参数的 phpinfo():
if (version_compare(PHP_VERSION, '5.4.0', '>=')) {
phpinfo(INFO_GENERAL | INFO_CONFIGURATION | INFO_MODULES);
} else {
phpinfo();
}
注意:INFO_* 常量在 PHP 5.4 才定义,老版本访问会触发 Notice: Use of undefined constant,所以不能在 else 分支外提前使用这些常量。
避免直接输出全部信息(INFO_ALL)
老版本默认就是 INFO_ALL 效果,但新版本若显式传 INFO_ALL,会暴露更多敏感项(如环境变量、$_SERVER 全量内容)。生产环境应主动缩小范围:
立即学习“PHP免费学习笔记(深入)”;
-
INFO_GENERAL:PHP 版本、编译选项、服务器信息 -
INFO_CONFIGURATION:php.ini路径和已加载配置项 -
INFO_MODULES:扩展列表(不含模块详细配置) - 不要组合
INFO_ENVIRONMENT或INFO_VARIABLES,它们会泄露$_ENV、$_SERVER等运行时数据
用 ob_get_contents() 拦截并过滤敏感字段
即使限制了 phpinfo() 输出范围,某些字段(如 Loaded Configuration File 路径、extension_dir)仍可能暴露服务器结构。更稳妥的做法是捕获输出后清洗:
ob_start();
if (version_compare(PHP_VERSION, '5.4.0', '>=')) {
phpinfo(INFO_GENERAL | INFO_CONFIGURATION);
} else {
phpinfo();
}
$output = ob_get_clean();
// 移除敏感行(正则需转义斜杠)
$output = preg_replace('/<tr>[^<]*<td[^>]*>Loaded Configuration File<\/td>.*?<\/tr>/i', '', $output);
$output = preg_replace('/<tr>[^<]*<td[^>]*>extension_dir<\/td>.*?<\/tr>/i', '', $output);
echo $output;
注意:phpinfo() 输出是 HTML 表格,结构随 PHP 版本略有差异,正则要加 i 修饰符,并用非贪婪匹配。别试图用 DOM 解析——老版本 PHP 可能没启用 dom 扩展。
最易被忽略的是:PHP 5.3 及更早版本中,phpinfo() 不仅输出 HTML,还会在开头插入一段不可见的空行或换行符,导致 headers already sent 错误。务必在 ob_start() 前确保无任何输出(包括 UTF-8 BOM、空格、换行)。
