应为phpinfo()页面添加密码保护，方法包括：一、Apache下用.htaccess做HTTP基本认证；二、PHP脚本内嵌会话密码校验；三、Nginx中结合IP白名单与auth_basic；四、重命名文件并禁用目录索引；五、防火墙限制访问源。

如果您的服务器上公开暴露了phpinfo()页面，攻击者可能利用该页面获取敏感的PHP配置信息，从而增加系统被入侵的风险。以下是为phpinfo页面添加密码保护的安全访问控制方法：

一、使用Apache .htaccess文件进行HTTP基本认证

通过在存放phpinfo.php文件的目录中配置.htaccess文件，可启用基于用户名和密码的HTTP基本认证，阻止未授权用户访问该页面。

1、创建一个名为phpinfo.php的文件，内容为，并将其放置在Web可访问目录下（如/var/www/html/）。

2、在该目录中新建名为.htaccess的文件，写入以下内容：

  AuthType Basic
  AuthName “Restricted Access”
  AuthUserFile /etc/apache2/.phpinfo_htpasswd
  Require valid-user

立即学习“PHP免费学习笔记（深入）”；

3、使用htpasswd命令生成密码文件：
sudo htpasswd -c /etc/apache2/.phpinfo_htpasswd admin（执行后将提示输入并确认密码）。

4、确保Apache已启用mod_authn_file和mod_authz_core模块，并重启服务：
sudo systemctl restart apache2。

二、在PHP脚本内部实现登录验证

通过在phpinfo.php文件开头嵌入简单的会话与密码校验逻辑，避免依赖Web服务器模块，适用于Nginx或共享主机环境。

1、编辑phpinfo.php文件，在

session_start();
if (!isset($_SESSION[‘phpinfo_auth’]) || $_SESSION[‘phpinfo_auth’] !== true) {
  if (!isset($_POST[‘password‘])) {
    echo ‘

密码:

‘;
    exit;
  }
  if ($_POST[‘password’] === ‘your_secure_password_here’) {
    $_SESSION[‘phpinfo_auth’] = true;
  } else {
    echo ‘密码错误，请重试‘;
    exit;
  }
}

2、将’your_secure_password_here’替换为您自行设定的强密码（至少12位，含大小写字母、数字及符号）。

3、确保PHP会话功能可用，且phpinfo.php所在目录具有可写权限以保存session数据。

三、通过Nginx location指令限制IP并结合auth_basic

若使用Nginx作为Web服务器，可在server块中针对phpinfo.php路径单独配置IP白名单与HTTP认证，实现双重访问控制。

1、打开站点配置文件（如/etc/nginx/sites-available/default），在server块内添加如下location块：

location = /phpinfo.php {
  allow 192.168.1.100;
  deny all;
  auth_basic “phpinfo Access”;
  auth_basic_user_file /etc/nginx/.phpinfo_passwd;
  fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
  include fastcgi_params;
  fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}

2、使用openssl生成密码文件：
printf “admin:$(openssl passwd -apr1 your_password_here)” > /etc/nginx/.phpinfo_passwd。

3、测试配置并重载Nginx：
sudo nginx -t && sudo systemctl reload nginx。

四、重命名phpinfo文件并禁用目录索引

降低phpinfo页面被暴力扫描发现的概率，配合文件名混淆与目录浏览禁用，构成基础层面的防护。

1、将原始phpinfo.php重命名为不易猜测的名称，例如system_diag_9a7f2.php。

2、在Apache配置中添加： Options -Indexes ；或在Nginx中设置autoindex off;。

3、在Web根目录的index.html中不提供任何指向该文件的链接或注释，确保仅限运维人员通过书签或记忆路径访问。

五、使用防火墙规则限制访问源端口与协议

通过系统级防火墙（如iptables或ufw）对phpinfo.php所对应URL路径的请求来源实施网络层过滤，防止非授权网络区域发起访问。

1、确认phpinfo.php通过HTTPS提供服务，强制HTTP请求重定向至HTTPS。

2、使用ufw限制仅允许特定管理IP访问Web端口：
sudo ufw allow from 203.0.113.45 to any port 443（203.0.113.45为管理员办公IP）。

3、禁止其他所有IP对443端口发起包含phpinfo.php路径的请求（需配合应用层日志分析与fail2ban规则进一步强化）。

https://www.php.cn/faq/1965986.html