phpinfo是PHP内置的一个函数,调用后会输出PHP运行环境的全部配置信息,其中包含服务器根目录、数据库配置、扩展版本等敏感内容,这些信息一旦被攻击者获取,会极大降低服务器被入侵的门槛。因此生产环境中需要禁用危险phpinfo项,或者移除其中的风险字段。

完全禁用phpinfo函数的方法
最彻底的方式是在PHP配置中直接禁用phpinfo函数,这样任何调用该函数的操作都会直接报错,从根源上避免信息泄露。
修改php.ini配置文件
找到服务器上的php.ini配置文件,不同环境的路径可能不同,常见路径有/etc/php/7.4/fpm/php.ini、/usr/local/php/etc/php.ini等。在配置文件中找到disable_functions项,如果没有则手动添加,将phpinfo加入禁用列表:
; 禁用危险函数,多个函数用逗号分隔 disable_functions = phpinfo,exec,passthru,shell_exec,system
修改完成后需要重启PHP服务让配置生效,比如使用以下命令重启PHP-FPM:
# 不同系统重启命令可能有差异 systemctl restart php-fpm
通过Web服务器配置禁用
如果不方便修改php.ini,也可以在Nginx或Apache的配置中拦截phpinfo的调用。以Nginx为例,在站点配置中添加如下规则:
location ~ .php$ {
# 拦截phpinfo调用,返回403禁止访问
if ($args ~* "phpinfo") {
return 403;
}
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
移除phpinfo风险字段的做法
如果因为调试需求不能完全禁用phpinfo,可以通过自定义函数过滤输出的内容,移除其中的高风险字段。
自定义过滤函数实现
我们可以封装一个自定义的函数,调用phpinfo后捕获输出内容,过滤掉敏感字段后再输出,示例代码如下:
<?php
/**
* 安全输出phpinfo,过滤风险字段
* @param array $removeKeys 需要移除的字段名列表
*/
function safe_phpinfo($removeKeys = []) {
// 默认需要移除的风险字段
$defaultRemove = [
'DOCUMENT_ROOT', // 服务器根目录
'SERVER_ADMIN', // 服务器管理员信息
'PATH', // 系统路径
'DB_PASSWORD', // 数据库密码相关
'MYSQL_PASSWORD' // MySQL密码相关
];
$allRemove = array_merge($defaultRemove, $removeKeys);
// 捕获phpinfo的输出
ob_start();
phpinfo();
$info = ob_get_clean();
// 过滤指定的字段内容
foreach ($allRemove as $key) {
// 匹配phpinfo输出中的字段行并替换为空
$info = preg_replace('/<tr><td class="e">' . preg_quote($key) . '</td><td class="v">.*?</td></tr>/is', '', $info);
}
echo $info;
}
// 调用自定义函数,可额外传入需要移除的字段
safe_phpinfo(['HTTP_COOKIE']);
?>
注意事项
- 过滤规则需要根据phpinfo的实际输出格式调整,不同PHP版本的phpinfo输出HTML结构可能有差异
- 这种方式只是降低风险,不能完全替代禁用phpinfo,生产环境仍建议优先选择完全禁用
- 调试完成后一定要及时删除包含phpinfo调用的文件,避免遗留安全隐患
验证禁用效果
配置完成后可以创建一个测试文件验证效果,测试文件内容如下:
<?php // 测试phpinfo是否被禁用 phpinfo(); ?>
如果配置生效,访问该文件时会提示函数被禁用,或者返回403错误,说明危险phpinfo项已经成功禁用。