生产环境禁止使用 phpinfo()，因其暴露扩展、版本、服务器信息、$_SERVER 变量、环境变量、数据库配置痕迹及 open_basedir 范围等敏感信息，易被攻击者利用侦察系统。

直接调用 phpinfo() 是最快速

为什么不能在生产服务器上保留 phpinfo() 页面

因为 phpinfo() 会输出：已加载的扩展、PHP 版本、Web 服务器类型、$_SERVER 全局变量（含真实路径、主机名、IP）、环境变量、数据库连接配置痕迹、甚至 open_basedir 限制范围 —— 这些全是攻击者侦察系统的首选入口。

• 即使页面被重命名（如 debug.php），仍可能被扫描工具发现
• Apache/Nginx 日志中会留下访问记录，容易被关联利用
• 某些共享主机上，phpinfo() 可能泄露同服务器其他用户的路径或配置片段

安全输出部分配置的替代做法

用 ini_get()、extension_loaded() 和 get_loaded_extensions() 按需查关键项，避免全量暴露：

 核心配置";
echo "PHP 版本: " . PHP_VERSION . "
";
echo "SAPI: " . PHP_SAPI . "
";
echo "内存限制: " . ini_get('memory_limit') . "
";
echo "上传最大尺寸: " . ini_get('upload_max_filesize') . "
";

echo "
关键扩展
";
foreach (['mysqli', 'pdo_mysql', 'curl', 'openssl'] as $ext) {
    echo "$ext: " . (extension_loaded($ext) ? '✅ 已启用' : '❌ 未加载') . "
";
}

echo "
危险设置检查
";
echo "display_errors: " . (ini_get('display_errors') ? '⚠️ 开启（应关闭）' : '✅ 关闭') . "
";
echo "expose_php: " . (ini_get('expose_php') ? '⚠️ 开启（应关闭）' : '✅ 关闭') . "
";
?>

临时调试时如何最小化风险

如果必须用 phpinfo() 查问题，仅限本地或内网，并加访问控制：

• 文件名不用常见关键词（避开 info.php、test.php）
• 开头强制校验来源 IP：if (!in_array($_SERVER['REMOTE_ADDR'], ['127.0.0.1', '192.168.1.100'])) die('Access denied');
• 使用后立即删除文件，不要提交到 Git
• Linux 下可用 chmod 600 info_debug.php 防止被其他用户读取

真正麻烦的不是怎么显示配置，而是很多人删了 phpinfo() 文件却忘了清理 Web 服务器缓存或 OPcache —— 旧版本页面仍可能被返回。每次改完务必清空 OPcache（opcache_reset()）并重启 PHP-FPM 或 Apache。