最可靠方式是ob_start()后调用phpinfo()再用ob_get_clean()捕获:必须前置开启缓冲,立即获取并清空,避免残留;注意参数控制信息范围,禁用敏感模块;cli下为纯文本;禁用file_get_contents等绕行方案;输出前须转义防xss。
用 ob_start + phpinfo 捕获输出内容最可靠
phpinfo() 默认直接输出到响应流,无法直接赋值给变量。唯一稳定的方式是利用 PHP 的输出控制函数,在调用前开启缓冲,调用后再取走内容并清空缓冲区。
- 必须在
phpinfo()调用前执行ob_start() - 调用完立刻用
ob_get_clean()获取并清空缓冲区(不能用ob_get_contents()后再ob_end_clean(),否则可能残留输出) - 若页面已开启输出缓冲(如框架自动启用),嵌套调用仍有效,但建议显式管理以避免干扰
ob_start(); phpinfo(); $info_html = ob_get_clean();
注意 phpinfo() 参数对捕获内容的影响
phpinfo() 第一个参数控制显示哪些信息模块,会影响最终捕获的 HTML 内容长度和结构。不传参等价于 phpinfo(INFO_ALL),但某些环境(如 CLI 或禁用部分模块)可能报错或返回空。
- 常用安全组合:
phpinfo(INFO_GENERAL | INFO_CONFIGURATION | INFO_MODULES) - 避免使用
INFO_ENVIRONMENT或INFO_VARIABLES—— 可能暴露敏感环境变量或 $_SERVER 值 - CLI 模式下调用需注意:输出是纯文本而非 HTML,
phpinfo()在 CLI 中默认不输出 CSS/表格结构
别试图用 file_get_contents 或 cURL 抓自己的 phpinfo.php
这种“绕一圈再抓”的做法看似简单,实则问题密集:
- 需要额外部署一个可访问的
phpinfo.php文件,违背“纯内存捕获”初衷 - Web 服务器配置(如
open_basedir、allow_url_fopen关闭)会导致file_get_contents('http://...')失败 - 本地请求可能触发重定向、认证拦截,或因 Host 头缺失被拒绝
- 并发场景下,多个请求打到同一 URL 可能互相干扰(尤其用了 opcache 或 fastcgi 缓存)
捕获后处理 HTML 需小心编码与 XSS 风险
捕获到的 $info_html 是完整 HTML 片段(含 、、内联样式),不是结构化数据。直接输出到页面前务必过滤或转义。
立即学习“PHP免费学习笔记(深入)”;
- 若仅用于日志或调试,可用
htmlspecialchars($info_html)转义后存文本文件 - 若需在后台页面展示,建议用
<iframe sandbox="allow-scripts"></iframe>加载 data URL,或提取关键字段(如用 DOMDocument 解析<tr> 行)而非整页渲染 <li>切勿未经处理就 <code>echo $info_html到用户可见区域 ——phpinfo()输出中可能含路径、扩展版本、已加载配置文件位置等敏感信息
实际用的时候,最常漏掉的是清理缓冲后的状态检查 —— 如果
ob_get_clean() 返回 false,说明缓冲区没内容或已被清空过,得加个判断兜底。
