如何禁用危险phpinfo项并移除phpinfo风险字段

来源:站长查询作者:湖南程序员头衔:程序员
导读:本期聚焦于小伙伴创作的《如何禁用危险phpinfo项并移除phpinfo风险字段》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何禁用危险phpinfo项并移除phpinfo风险字段》有用,将其分享出去将是对创作者最好的鼓励。

phpinfo是PHP内置的一个函数,调用后会输出PHP运行环境的全部配置信息,其中包含服务器根目录、数据库配置、扩展版本等敏感内容,这些信息一旦被攻击者获取,会极大降低服务器被入侵的门槛。因此生产环境中需要禁用危险phpinfo项,或者移除其中的风险字段。

如何禁用危险phpinfo项并移除phpinfo风险字段

完全禁用phpinfo函数的方法

最彻底的方式是在PHP配置中直接禁用phpinfo函数,这样任何调用该函数的操作都会直接报错,从根源上避免信息泄露。

修改php.ini配置文件

找到服务器上的php.ini配置文件,不同环境的路径可能不同,常见路径有/etc/php/7.4/fpm/php.ini、/usr/local/php/etc/php.ini等。在配置文件中找到disable_functions项,如果没有则手动添加,将phpinfo加入禁用列表:

; 禁用危险函数,多个函数用逗号分隔
disable_functions = phpinfo,exec,passthru,shell_exec,system

修改完成后需要重启PHP服务让配置生效,比如使用以下命令重启PHP-FPM:

# 不同系统重启命令可能有差异
systemctl restart php-fpm

通过Web服务器配置禁用

如果不方便修改php.ini,也可以在Nginx或Apache的配置中拦截phpinfo的调用。以Nginx为例,在站点配置中添加如下规则:

location ~ .php$ {
    # 拦截phpinfo调用,返回403禁止访问
    if ($args ~* "phpinfo") {
        return 403;
    }
    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    include        fastcgi_params;
}

移除phpinfo风险字段的做法

如果因为调试需求不能完全禁用phpinfo,可以通过自定义函数过滤输出的内容,移除其中的高风险字段。

自定义过滤函数实现

我们可以封装一个自定义的函数,调用phpinfo后捕获输出内容,过滤掉敏感字段后再输出,示例代码如下:

<?php
/**
 * 安全输出phpinfo,过滤风险字段
 * @param array $removeKeys 需要移除的字段名列表
 */
function safe_phpinfo($removeKeys = []) {
    // 默认需要移除的风险字段
    $defaultRemove = [
        'DOCUMENT_ROOT', // 服务器根目录
        'SERVER_ADMIN',  // 服务器管理员信息
        'PATH',          // 系统路径
        'DB_PASSWORD',   // 数据库密码相关
        'MYSQL_PASSWORD' // MySQL密码相关
    ];
    $allRemove = array_merge($defaultRemove, $removeKeys);
    
    // 捕获phpinfo的输出
    ob_start();
    phpinfo();
    $info = ob_get_clean();
    
    // 过滤指定的字段内容
    foreach ($allRemove as $key) {
        // 匹配phpinfo输出中的字段行并替换为空
        $info = preg_replace('/<tr><td class="e">' . preg_quote($key) . '</td><td class="v">.*?</td></tr>/is', '', $info);
    }
    
    echo $info;
}

// 调用自定义函数,可额外传入需要移除的字段
safe_phpinfo(['HTTP_COOKIE']);
?>

注意事项

  • 过滤规则需要根据phpinfo的实际输出格式调整,不同PHP版本的phpinfo输出HTML结构可能有差异
  • 这种方式只是降低风险,不能完全替代禁用phpinfo,生产环境仍建议优先选择完全禁用
  • 调试完成后一定要及时删除包含phpinfo调用的文件,避免遗留安全隐患

验证禁用效果

配置完成后可以创建一个测试文件验证效果,测试文件内容如下:

<?php
// 测试phpinfo是否被禁用
phpinfo();
?>

如果配置生效,访问该文件时会提示函数被禁用,或者返回403错误,说明危险phpinfo项已经成功禁用。

phpinfophp配置安全风险字段移除修改时间:2026-07-13 08:18:21

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。