PHP探针文件默认不可直接放服务器根目录,因其无内置鉴权,易导致敏感信息泄露;应移出Web根目录,通过带Token和IP校验的入口脚本间接调用,并配合Web服务器配置禁止直接访问。
绝大多数 PHP 探针(如 phpinfo.php、tz.php、各类一键检测脚本)本质是裸露系统信息的诊断页,没有内置鉴权逻辑。一旦上传到 Web 可访问路径,任何知道 URL 的人都能查看服务器配置、PHP 版本、扩展列表、环境变量甚至 $_SERVER 中的敏感路径。这不是“要不要设权限”的问题,而是“不设就等于公开暴露”。
.htaccess 简单 deny all 后再靠 IP 白名单——很多主机不支持或规则被忽略/public、/www、/htdocs 这类默认 Web 根下真正的权限控制应发生在 PHP 层,而不是靠 Web 服务器拦截。典型做法是写一个带校验的入口脚本,只在满足条件时才 require 探针主体。
phpinfo.php 文件本身应移出 Web 根目录(例如放到 /home/user/tools/phpinfo.php),或至少加 .php 后缀并确保 Web 服务器不解析非标准后缀$_ENV['PROBE_TOKEN'] 从环境变量读取即使做了 PHP 层校验,也建议叠加
Apache(放在 .htaccess 或虚拟主机配置中):
Require all denied
Nginx(server 块内):
location ~* ^/(phpinfo|tz|probe)\.php$ {
deny all;
}info.php、test.php、env.php)PHPINFO.PHP 可能逃逸,建议加 require 调用有些探针会打印 $_ENV、php_ini_loaded_file()、getcwd() 等结果,可能泄露绝对路径或数据库凭证。不能只靠访问控制,还得清理内容。
例如修改 phpinfo.php 中关键段落:
// 过滤掉包含敏感关键词的行
$html = pregreplace('/.*?(?:PWD|HOME|PATH|DB|SECRET|KEY).*?<\/tr>/i', '', $html);
echo $html;
?>
- 正则过滤只是补救,优先从源头避免输出——比如不用
phpinfo(INFO_ENVIRONMENT),改用 phpinfo(INFO_GENERAL | INFO_MODULES)
- 某些探针会主动 dump
$_SERVER,务必检查源码并注释或删减相关 print_r() 行
- 如果用了 Composer 包管理的探针(如
spatie/php-version-checker),确认其未启用调试模式
实际部署时最容易被忽略的是:探针文件权限设为 644 且放在 Web 目录下,同时又没做任何 PHP 层校验——这种组合等于把服务器快照贴在门口。真正安全的探针,从来不是“藏起来”,而是“没授权就根本不会执行”。