PHP 5.4+ 支持 phpinfo() 参数控制，老版本不识别会报错；需用 version_compare() 判断版本，仅新版本传 INFO_GENERAL 等常量，并用 ob_start() 捕获输出后正则过滤敏感字段。

PHP 5.4 之前没有 phpinfo() 的参数控制，直接调用会输出全部信息且无法过滤；PHP 5.4+ 支持传入 INFO_ALL、INFO_MODULES 等常量，但老版本不识别这些常量，直接传参会导致致命错误 Warning: phpinfo() expects exactly 0 parameters。兼容写法必须先判断 PHP 版本再决定是否传参。

检查 PHP 版本再决定是否传参

不能硬编码传参，也不能全靠 @ 抑制错误——那样会掩盖真实问题。正确做法是用 version_compare() 判断，只在支持的版本上调用带参数的 phpinfo()：

if (version_compare(PHP_VERSION, '5.4.0', '>=')) {
    phpinfo(INFO_GENERAL | INFO_CONFIGURATION | INFO_MODULES);
} else {
    phpinfo();
}

注意：INFO_* 常量在 PHP 5.4 才定义，老版本访问会触发 Notice: Use of undefined constant，所以不能在 else 分支外提前使用这些常量。

避免直接输出全部信息（INFO_ALL）

老版本默认就是 INFO_ALL 效果，但新版本若显式传 INFO_ALL，会暴露更多敏感项（如环境变量、$_SERVER 全量内容）。生产环境应主动缩小范围：

立即学习“PHP免费学习笔记（深入）”；

• INFO_GENERAL：PHP 版本、编译选项、服务器信息
• INFO_CONFIGURATION：php.ini 路径和已加载配置项
• INFO_MODULES：扩展列表（不含模块详细配置）
• 不要组合 INFO_ENVIRONMENT 或 INFO_VARIABLES，它们会泄露 $_ENV、$_SERVER 等运行时数据

用 ob_get_contents() 拦截并过滤敏感字段

即使限制了 phpinfo() 输出范围，某些字段（如 Loaded Configuration File 路径、extension_dir）仍可能暴露服务器结构。更稳妥的做法是捕获输出后清洗：

ob_start();
if (version_compare(PHP_VERSION, '5.4.0', '>=')) {
    phpinfo(INFO_GENERAL | INFO_CONFIGURATION);
} else {
    phpinfo();
}
$output = ob_get_clean();

// 移除敏感行（正则需转义斜杠）
$output = preg_replace('/[^<]*]*>Loaded Configuration File.*?/i', '', $output);
$output = preg_replace('/[^<]*]*>extension_dir.*?/i', '', $output);

echo $output;

注意：phpinfo() 输出是 HTML 表格，结构随 PHP 版本略有差异，正则要加 i 修饰符，并用非贪婪匹配。别试图用 DOM 解析——老版本 PHP 可能没启用 dom 扩展。

最易被忽略的是：PHP 5.3 及更早版本中，phpinfo() 不仅输出 HTML，还会在开头插入一段不可见的空行或换行符，导致 headers already sent 错误。务必在 ob_start() 前确保无任何输出（包括 UTF-8 BOM、空格、换行）。

https://www.php.cn/faq/1987479.html