不该暴露 phpinfo() 接口,因其会全量泄露服务器环境信息,如PHP版本、禁用函数、扩展列表及敏感路径等,成为攻击速查手册;若临时使用须严格限于内网、随机路径、IP白名单、反代理校验、脱敏输出并禁用缓存;推荐改用结构化JSON API返回必要运行时信息,并确保上线前彻底移除。
为什么不该暴露 phpinfo() 接口
直接提供一个返回 phpinfo() 输出的 API 接口,本质上是把服务器运行时环境全量泄露给任意调用者。攻击者能立刻获知:PHP 版本(是否含已知 RCE 漏洞)、disable_functions 列表(判断能否执行系统命令)、open_basedir 限制范围、extension 加载情况(如 pdo_mysql 是否启用)、甚至 $_SERVER 中的敏感路径(如 DOCUMENT_ROOT 或 SCRIPT_FILENAME)。这不是调试接口,是攻击速查手册。
如果真要临时用于部署验证,必须加严控
仅限开发/测试环境,且必须满足全部以下条件:
- 接口路径不使用
/phpinfo、/info等可猜解名称,例如用带随机串的路径:/debug-info-7f3a9c2e - 强制校验请求来源:
$_SERVER['REMOTE_ADDR']必须是内网 IP(如127.0.0.1、10.0.0.0/8)或白名单运维 IP - 禁止被代理转发:检查
$_SERVER['HTTP_X_FORWARDED_FOR']为空,且$_SERVER['HTTP_VIA']未设置 - 响应头禁用缓存:
header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0') - 输出前清除所有可能泄露的上下文:
ob_start(); phpinfo(); $output = ob_get_clean(); echo preg_replace('/<td>(\/.*?)/i', '</td> <td>[REDACTED]</td>', $output);(对路径类字段脱敏)
phpinfo() 的替代方案更安全可靠
真正需要的不是完整 phpinfo() 页面,而是结构化、可控的运行时信息。推荐用以下方式代替:
function get_php_runtime_info() {
return [
'version' => PHP_VERSION,
'sapi' => PHP_SAPI,
'extensions' => get_loaded_extensions(),
'memory_limit' => ini_get('memory_limit'),
'max_execution_time' => ini_get('max_execution_time'),
'upload_max_filesize' => ini_get('upload_max_filesize'),
'display_errors' => (bool)ini_get('display_errors'),
'error_reporting' => error_reporting(),
'timezone' => date_default_timezone_get(),
'opcache_enabled' => extension_loaded('opcache') && filter_var(ini_get('opcache.enable'), FILTER_VALIDATE_BOOLEAN),
];
}
// 作为 JSON API 返回(需配合权限校验)
header('Content-Type: application/json; charset=utf-8');
echo json_encode(get_php_runtime_info(), JSON_UNESCAPED_UNICODE | JSON_PRETTY_PRINT);
这样既满足监控、排障需求,又不暴露路径、配置文件位置、环境变量等高危信息。
立即学习“PHP免费学习笔记(深入)”;
上线前务必删除或 404 化该接口
哪怕加了 IP 白名单和随机路径,只要代码留在生产环境,就存在被扫描发现、被日志误记录、被同事误访问的风险。CI/CD 流水线应确保:phpinfo 相关路由/文件在构建生产包时被自动剔除;Git 提交记录中禁止出现 phpinfo() 调用;Nginx/Apache 配置里不得映射任何指向 phpinfo.php 的 location。
