phpinfo会暴露敏感数据吗_使用phpinfo注意安全风险点【提醒】

技术百科

蓮花仙者

发布时间：2026-01-16

浏览：次

是，phpinfo() 默认输出全部PHP配置、扩展、环境变量和服务器信息，包含DOCUMENT_ROOT、SCRIPT_FILENAME、已启用扩展、php.ini路径、环境变量及$_ENV/$_SERVER中的密钥等敏感内容，极易被攻击者利用。

会，phpinfo() 默认输出全部 PHP 配置、扩展、环境变量和服务器信息，其中包含大量敏感数据，**不应在生产环境暴露**。

phpinfo() 页面中直接可见的敏感项包括：

$_SERVER 数组里的 DOCUMENT_ROOT、SCRIPT_FILENAME、HTTP_HOST、REMOTE_ADDR 等 —— 可推断目录结构与访问来源
已启用的扩展列表（如 pdo_mysql、redis）—— 暴露技术栈，辅助攻击者选择利用链
Loaded Configuration File 显示 php.ini 路径 —— 攻击者可尝试读取该文件（若 Web 服务配置不当）
Environment 区域可能含 PATH、HOME、自定义环境变量（如数据库密码误设在环境变量中）
PHP Variables 下的 $_ENV 和 $_SERVER 若未清理，可能泄露密钥、API Token 等

以下做法极易引发风险：

如需检查运行时配置，优先采用更可控的方式：

用 ini_get('display_errors')、extension_loaded('opcache') 等函数按需查询单个配置或状态，而非全量输出
通过命令行查看：执行 php -i（本地运维）或 php -m（查扩展），避免 Web 暴露
若必须保留 Web 端入口，务必加访问控制：
– Nginx 示例
：
```
location /phpinfo.php {
    allow 192.168.1.100;
    deny all;
}
```
– 并确保文件名不规律（如 syschk_8a3f.php），且不在版本库中
上线前扫描工具检查：grep -r "phpinfo" . --include="*.php"，确认无残留调用

真正危险的不是 phpinfo() 本身，而是它把本该隔离的内部视图，毫无遮拦地交到了外部请求手里。哪怕只开放 5 分钟，也可能被自动化扫描器捕获并存档。

相关栏目： <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 AI推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 SEO优化<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【技术百科<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【谷歌推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【百度推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【网络营销<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【案例网站<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【精选文章<？ｍｕｍａ echo $count; ?> 】