生产环境禁止使用 phpinfo(),因其暴露扩展、版本、服务器信息、$_SERVER 变量、环境变量、数据库配置痕迹及 open_basedir 范围等敏感信息,易被攻击者利用侦察系统。
直接调用 phpinfo() 是最快速查看 PHP 系统配置的方式,但它默认暴露全部信息,生产环境绝对禁止启用。
为什么不能在生产服务器上保留 phpinfo() 页面
因为 phpinfo() 会输出:已加载的扩展、PHP 版本、Web 服务器类型、$_SERVER 全局变量(含真实路径、主机名、IP)、环境变量、数据库连接配置痕迹、甚至 open_basedir 限制范围 —— 这些全是攻击者侦察系统的首选入口。
- 即使页面被重命名(如
debug.php),仍可能被扫描工具发现 - Apache/Nginx 日志中会留下访问记录,容易被关联利用
- 某些共享主机上,
phpinfo()可能泄露同服务器其他用户的路径或配置片段
安全输出部分配置的替代做法
用 ini_get()、extension_loaded() 和 get_loaded_extensions() 按需查关键项,避免全量暴露:
核心配置"; echo "PHP 版本: " . PHP_VERSION . "
"; echo "SAPI: " . PHP_SAPI . "
"; echo "内存限制: " . ini_get('memory_limit') . "
"; echo "上传最大尺寸: " . ini_get('upload_max_filesize') . "
"; echo "关键扩展
"; foreach (['mysqli', 'pdo_mysql', 'curl', 'openssl'] as $ext) { echo "$ext: " . (extension_loaded($ext) ? '✅ 已启用' : '❌ 未加载') . "
"; } echo "危险设置检查
"; echo "display_errors: " . (ini_get('display_errors') ? '⚠️ 开启(应关闭)' : '✅ 关闭') . "
"; echo "expose_php: " . (ini_get('expose_php') ? '⚠️ 开启(应关闭)' : '✅ 关闭') . "
"; ?>
临时调试时如何最小化风险
如果必须用 phpinfo() 查问题,仅限本地或内网,并加访问控制:
- 文件名不用常见关键词(避开
info.php、test.php) - 开头强制校验来源 IP:
if (!in_array($_SERVER['REMOTE_ADDR'], ['127.0.0.1', '192.
168.1.100'])) die('Access denied');
- 使用后立即删除文件,不要提交到 Git
- Linux 下可用
chmod 600 info_debug.php防止被其他用户读取
真正麻烦的不是怎么显示配置,而是很多人删了 phpinfo() 文件却忘了清理 Web 服务器缓存或 OPcache —— 旧版本页面仍可能被返回。每次改完务必清空 OPcache(opcache_reset())并重启 PHP-FPM 或 Apache。
