必须禁用 phpinfo() 函数而非仅屏蔽 URL,因动态调用、共享主机限制及 eval 等绕过手段使 Web 层拦截不可靠;推荐修改 php.ini 的 disable_functions,次选运行时重定义函数。
直接暴露 phpinfo() 页面是高危行为,等同于向攻击者主动递交服务器配置、扩展、路径、环境变量等敏感信息。生产环境必须禁止未授权访问。
因为很多老项目或 CMS(如某些 WordPress 插件、自定义调试页)会动态生成或包含 phpinfo() 调用,单纯删文件或拦截 URL 可能导致功能异常;更稳妥的方式是控制函数本身的行为,而非只堵入口。
eval()、include() 或反序列化触发的 phpinfo() 调用.htaccess 或 Nginx 配置优先在 PHP 运行时层面禁用,比 Web 层拦截更彻底。注意:禁用后任何调用都会报 Call to undefined function phpinfo() 错误,需提前确认无强依赖。
php.ini
在 disable_functions 中追加 phpinfo(注意不带括号):disable_functions = exec,passthru,shell_exec,system,phpinfo修改后必须重启 PHP-FPM 或 Web 服务器生效
index.php)顶部加入:if (function_exists('phpinfo')) {
unset($GLOBALS['phpinfo']);
function phpinfo() { return false; }
}
⚠️ 此方法对已加载的扩展(如某些 Zend 扩展)可能无效,且无法覆盖 eval("phpinfo();")
仅限内网调试或严格鉴权场景。核心原则:不暴露、不缓存、不索引、带时效。
phpinfo.php 放在 Web 根目录外(如 /var/www/private/phpinfo.php),再通过带鉴权的代理路由访问最常被忽略的一点:CI/CD 流水线或 Docker 构建过程中,开发者可能无意把含 phpinfo() 的调试文件提交进仓库或镜像——建议在 .gitignore 加入 *phpinfo*.php,并在镜像构建阶段用 find /var/www -name "*phpinfo*" -delete 清理。