PHP探针是无需安装的PHP脚本,需置于Web可访问目录(如/var/www/html/phpinfo.php),确保Web用户有读取权限,PHP启用phpinfo()函数,且配置正确;使用后必须删除或严格限制访问,以防信息泄露。
PHP探针不是需要“安装”的软件,而是一个纯 PHP 脚本文件(通常叫 phpinfo.php 或类似名字),直接丢到 Web 服务器可访问目录下就能运行。关键在于放对位置、配好权限、注意安全。
把探针文件放到 Web 根目录或子目录下
探针本质是 PHP 文件,必须由 Web 服务器(如 Apache/Nginx)解析执行,不能放在 /var/log 或用户家目录等非 Web 可访问路径。
- 常见正确路径:
/var/www/html/phpinfo.php(Apache 默认)、/usr/share/nginx/html/phpinfo.php(Nginx 默认) - 也可放子目录,比如
/var/www/html/tools/phpinfo.php,之后通过https://yoursite.com/tools/phpinfo.php访问 - 确认 Web 服务用户(如
www-data或nginx)对该文件有读取和执行权限:chmod 644 /var/www/html/phpinfo.php
- 如果用宝塔、cPanel 等面板,直接上传到网站根目录即可,无需 SSH
确保 PHP 已启用且能正常解析
探针依赖 PHP 环境,但有些服务器默认禁用 phpinfo() 函数,或 PHP 模块不全,会导致空白页或报错。
- 检查是否启用: —— 若页面完全空白,先看 Web 服务器错误日志(如
/var/log/apache2/error.log) - 常见报错
Call to undefined function phpinfo():说明 PHP 编译时加了--disable-phpinfo,或被disable_functions拦截;检查php.ini中的disable_functions是否包含phpinfo
- Nginx 用户需确认
location ~ \.php$块已正确配置并指向 PHP-FPM socket
别忘了删掉或限制访问探针文件
公开暴露 phpinfo() 是典型安全隐患:它会显示服务器路径、PHP 版本、扩展列表、环境变量甚至数据库连接信息。
- 上线后务必删除:
rm /var/www/html/phpinfo.php
- 若需长期保留(如内部运维),至少加访问控制:
– Apache:在探针目录加.htaccess,内容为Require ip 192.168.1.0/24
– Nginx:在 location 块中加allow 192.168.1.100; deny all;
– 或改名成难猜的路径,如/admin-7x9q2z.php,但不推荐替代权限控制 - 某些探针(如雅黑 PHP 探针)自带密码功能,但其验证逻辑常有绕过风险,不如从网络层拦截可靠
最常被忽略的一点:探针显示的是当前请求所用 PHP 配置,即 CGI/FPM 模式下的 php.ini,和 CLI 模式(php -i)可能不同。调试时务必确认你查的是 Web 请求实际加载的配置文件路径——它就写在 phpinfo() 页面顶部的 Loaded Configuration File 行里。
