别再随便留 phpinfo.php 了：从环境调试到安全防线的实战指南

刚搭好框架或者跑项目报错时，很多开发者下意识会写个 <?php phpinfo(); ?> 扔进根目录。页面刷出来，密密麻麻的参数表确实能快速定位缺没缺扩展、版本对不对。但这把双刃剑用顺手了，反而容易埋下隐患。调试是好事，可信息泄露往往就发生在“随手一放、忘了删”的习惯里。

真正做排查时，别盯着满屏的表格发呆。打开页面后，直接按快捷键跳到最核心的几块。PHP Version 确认基础环境是否匹配项目要求；Loaded Modules 检查 PDO、GD、Redis 等关键扩展有没有成功编译进来；Configuration File 那一栏会明确告诉你实际生效的配置文件路径，很多“改了配置不生效”的坑，都是在这一步查出来的。如果涉及上传限制，往下翻到 Environment 和 Http 模块，upload_max_filesize 和 post_max_size 的值必须对齐，否则表单提交永远静悄悄。

调试完记得清理。很多人图省事，改个注释就留在服务器上，结果被爬虫脚本批量扫描。攻击者拿到你的服务器架构、模块列表甚至内部文件路径，后续打补丁的时间差就成了他们试探的窗口。生产环境里，一个暴露的 phpinfo 页面比漏写的密码更危险。正确的做法是用完即删。如果团队需要共享环境诊断数据，不如封装一个带访问控制的 PHP 脚本，限制仅内网 IP 调用，输出完自动销毁临时文件。

其实日常排查，根本不需要整页 dump 信息。CLI 环境下敲一行 php -m 就能列出所有加载的扩展，配合 php -i | grep upload 能精准抓取某个配置项的值。如果是写代码时临时判断，用 extension_loaded('curl') 或 ini_get('memory_limit') 比渲染整个 html 表轻得多。现代 PHP 项目完全可以用这些轻量函数做健康检查，既省资源又不会留下安全把柄。

工具本身没有对错，全看怎么用。把 phpinfo 当成临时听诊器没问题，但别忘了拔针头、盖伤口。建立“调试有记录、上线必清零”的工作流，服务器稳了，写代码的心也就静了。