分段查看phpinfo需服务端按需生成:用flag参数(如INFO_CONFIGURATION)可原生切片;需分页时用ini_get_all()等函数手动构造;生产环境必须鉴权且禁用完整输出。
直接调用 phpinfo() 会一次性输出全部 PHP 配置、扩展、环境信息,页面体积大(常超 500KB)、渲染慢、甚至触发 Nginx/Apache 的响应体截断或超时。**不能靠前端分页或 CSS 隐藏来“假装”分段——PHP 进程仍需生成并输出全部内容。真正的分段必须在服务端按需生成子集。**
用 phpinfo() 的第二个参数做模块级切片
phpinfo() 支持传入一个整数 flag,指定只输出某类信息,避免全量渲染。这是最轻量、原生、无需额外依赖的分段方式。
-
phpinfo(INFO_GENERAL):PHP 版本、系统、构建信息等基础头 -
phpinfo(INFO_CONFIGURATION):php.ini路径和所有Directive值(最常查的部分) -
phpinfo(INFO_MODULES):已加载的扩展列表(不含详细配置) -
phpinfo(INFO_ENVIRONMENT):$_ENV和服务器环境变量 -
phpinfo(INFO_VARIABLES):$_GET/$_POST/$_SERVER等超全局变量(注意敏感信息!)
例如,单独查看配置项只需:
用 ini_get_all() + get_loaded_extensions() 手动构造可分页片段
当需要更细粒度控制(比如每页 20 个 ini 项、或按扩展名分组),phpinfo() 的 flag 就不够用了。此时应绕过 phpinfo(),改用底层函数采集数据再格式化。
立即学习“PHP免费学习笔记(深入)”;
-
ini_get_all(null, false)返回所有 ini 配置的关联数组,可array_chunk()分页 -
get_loaded_extensions()获取扩展名列表,再对每个扩展调用extension_loaded($ext)和ini_get_all($ext)获取其专属配置 - 避免调用
phpinfo(INFO_MODULES)后再解析 HTML —— 不稳定且开销大
示例:分页输出前 10 个 ini 项
INI items (page {$page})";
foreach ($chunk as $key => $val) {
echo "{$key} = {$val['local_value']} ({$val['global_value']})";
}
?>
禁止在生产环境暴露完整 phpinfo() 页面
哪怕做了分段,只要 URL 可访问、无鉴权,就等于把服务器底裤交给任何人看。常见高危后果:
-
INFO_VARIABLES泄露数据库密码、API Key(若通过$_SERVER注入) -
INFO_ENVIRONMENT暴露HOME、PATH、容器 ID 等部署细节 - 攻击者用
INFO_CONFIGURATION确认disable_functions是否绕过成功
必须做到:
- 分段脚本文件名不叫
phpinfo.php,且不在 Web 根目录下直连(如放/var/www/internal/tools/并用 Nginxlocation限制 IP) - 每个脚本开头强制校验登录态或 Token:
if (!isset($_SESSION['admin']) || $_SESSION['admin'] !== true) die('Access denied'); - 上线前删除所有调试用的
phpinfo()文件——临时需求用完即删
分段的本质不是让页面“看起来快”,而是让 PHP 进程少做无用功。flag 切片最快,手动采集最灵活,但无论哪种,漏掉权限控制就等于白做。