PHP探针文件默认不可直接放服务器根目录,因其无内置鉴权,易导致敏感信息泄露;应移出Web根目录,通过带Token和IP校验的入口脚本间接调用,并配合Web服务器配置禁止直接访问。
PHP探针文件默认不能直接放服务器根目录
绝大多数 PHP 探针(如 phpinfo.php、tz.php、各类一键检测脚本)本质是裸露系统信息的诊断页,没有内置鉴权逻辑。一旦上传到 Web 可访问路径,任何知道 URL 的人都能查看服务器配置、PHP 版本、扩展列表、环境变量甚至 $_SERVER 中的敏感路径。这不是“要不要设权限”的问题,而是“不设就等于公开暴露”。
- 不要用
.htaccess简单 deny all 后再靠 IP 白名单——很多主机不支持或规则被忽略 - 避免把探针放在
/public、/www、/htdocs这类默认 Web 根下 - 更稳妥的做法:放在 Web 根目录之外,通过 CLI 或带参数的代理脚本间接调用(见下一条)
用 require + 权限判断替代直接访问探针文件
真正的权限控制应发生在 PHP 层,而不是靠 Web 服务器拦截。典型做法是写一个带校验的入口脚本,只在满足条件时才 require 探针主体。
-
phpinfo.php文件本身应移出 Web 根目录(例如放到/home/user/tools/phpinfo.php),或至少加.php后缀并确保 Web 服务器不解析非标准后缀 - Token 不要硬编码在生产环境,可用
$_ENV['PROBE_TOKEN']从环境变量读取 - IP 判断仅适用于内网或固定出口场景;公网部署必须配合登录态或一次性令牌
Apache/Nginx 下禁止直接访问探针文件的配置项
即使做了 PHP 层校验,也建议叠加 Web 服务器级防护,防止绕过或误传。
Apache(放在 .htaccess 或虚拟主机配置中):
Require all denied
Nginx(server 块内):
location ~* ^/(phpinfo|tz|probe)\.php$ {
deny all;
}- 注意 Nginx 的正则匹配需覆盖所有常见探针文件名变体(
info.php、test.php、env.php) - Apache 的
PHPINFO.PHP可能逃逸,建议加 - 这些规则只阻断 HTTP 访问,不影响 CLI 或
require调用
探针输出中敏感信息的过滤处理
有些探针会打印 $_ENV、php_ini_loaded_file()、getcwd() 等结果,可能泄露绝对路径或数据库凭证。不能只靠访问控制,还得清理内容。
例如修改 phpinfo.php 中关键段落:
// 过滤掉包含敏感关键词的行
$html = pregreplace('/.*?(?:PWD|HOME|PATH|DB|SECRET|KEY).*?<\/tr>/i', '', $html);
echo $html;
?>
正则过滤只是补救,优先从源头避免输出——比如不用 phpinfo(INFO_ENVIRONMENT),改用 phpinfo(INFO_GENERAL | INFO_MODULES)
- 某些探针会主动 dump
$_SERVER,务必检查源码并注释或删减相关 print_r() 行
- 如果用了 Composer 包管理的探针(如
spatie/php-version-checker),确认其未启用调试模式
实际部署时最容易被忽略的是:探针文件权限设为 644 且放在 Web 目录下,同时又没做任何 PHP 层校验——这种组合等于把服务器快照贴在门口。真正安全的探针,从来不是“藏起来”,而是“没授权就根本不会执行”。
