phpinfo() 默认不输出 HTTP 请求头,因其仅显示 PHP 环境配置,与请求上下文无关;获取请求头应使用 $_SERVER 或 getallheaders()。
phpinfo() 默认不输出 HTTP 请求头
phpinfo() 是 PHP 内置的调试函数,它只输出 PHP 运行环境的配置、扩展、常量、版本等信息,不会显示当前请求的 HTTP 头(如 User-Agent、Referer、Authorization 等)。它的输出属于服务器端环境快照,和本次请求的上下文无关。
常见误解是:打开 phpinfo.php 页面后看到一堆表格,以为其中某个 section 包含了请求头 —— 实际上没有。即使你用 curl -H "X-Test: 123" http://localhost/phpinfo.php 发送自定义头,phpinfo() 的输出里也找不到 X-Test。
想看请求头?得用 $_SERVER 或 getallheaders()
PHP 中获取请求头有两条主流路径:
-
$_SERVER数组包含部分重写后的请求头,命名规则为HTTP_XXX(大写、下划线分隔、-转为_),例如HTTP_USER_AGENT、HTTP_ACCEPT_LANGUAGE;但不是所有头都会出现,比如Cookie、Host、Content-Type会以独立键存在(HTTP_COOKIE、HTTP_HOST、CONTENT_TYPE) -
getallheaders()函数(仅在 Apache 模块模式或 FastCGI 下可用)能返回原始请求头的关联数组,键名保持原始大小写(如User-Agent),更接近真实请求;但在 Nginx + PHP-FPM 组合中默认不可用,需额外配置或改用apache_request_headers()(仅限 Apache)
简单验证方式:
"; print_r($_SERVER); echo "\n"; if (function_exists('getallheaders')) { echo ""; print_r(getallheaders()); echo ""; } ?>为什么 phpinfo() 不显示请求头?这是设计使然
phpinfo()的定位是“环境诊断”,不是“请求调试”。它的输出内容由 PHP 内核在启动阶段静态生成,不依赖于 SAPI 层传入的请求数据。这意味着:
- 无论你用 GET、POST、PUT 还是带 JWT 的请求访问,
phpinfo()输出都一样 - 它不读取
$_GET、$_POST、$_COOKIE、$_SERVER等超全局变量,也不调用任何用户态逻辑 - 性能上极轻量——几乎不触发任何运行时开销,这也是它被广泛用于探活、版本探测的原因
所以别指望靠修改 php.ini 或加参数让 phpinfo() 显示请求头。它压根没这个能力,也不是它的职责。
安全提醒:线上禁用 phpinfo(),且别用它查敏感头
很多开发者习惯上传临时 phpinfo.php 查环境,但容易忽略两点:
- 如果服务器未限制访问,攻击者可直接看到 PHP 版本、已启用扩展(如
openssl、gd)、disable_functions列表、甚至open_basedir路径 —— 这些都是漏洞利用的关键线索 - 即使你真用
$_SERVER打印请求头,也要注意:某些头可能含敏感信息(如Authorization: Bearer xxx、X-API-Key),直接输出到 HTML 可能造成泄露
真正需要查请求头时,优先用 error_log(print_r(getallheaders(), true), 3, '/tmp/req.log') 记日志,而不是回显到页面。
