PHP Apache phpinfo隐藏环境变量

是否可以从phpinfo中混淆或删除环境变量

如果没有，是否是显示phpinfo功能的唯一替代方法

进一步考虑一下，有人可以轻松地打印r（$\u服务器）并获取凭据。解决这个问题的办法是什么

澄清 这与Apache环境变量有关。

执行以下操作：

忽略具有以下名称的GET、POST和COOKIE变量： 全局文件、\u COOKIE、\u ENV、\u文件、\u GET、\u POST、\u请求 _服务器、会话、HTTP\u COOKIE\u变量、HTTP\u ENV\u变量 HTTP\u GET\u VARS、HTTP\u POST\u VARS、HTTP\u POST\u文件 HTTP_原始_POST_数据、HTTP_服务器_变量、HTTP_会话_变量

除此之外，我不知道有什么方法可以干净地隐藏这些变量

这就是说，从一开始就没有必要这样做——外部访问者不应该运行

phpinfo（）

，或者转储任意变量

忽略具有以下名称的GET、POST和COOKIE变量： 全局文件、\u COOKIE、\u ENV、\u文件、\u GET、\u POST、\u请求 _服务器、会话、HTTP\u COOKIE\u变量、HTTP\u ENV\u变量 HTTP\u GET\u VARS、HTTP\u POST\u VARS、HTTP\u POST\u文件 HTTP_原始_POST_数据、HTTP_服务器_变量、HTTP_会话_变量

除此之外，我不知道有什么方法可以干净地隐藏这些变量

---

这就是说，从一开始就没有必要这样做——外部访问者不应该运行

phpinfo（）

，或者转储任意变量

作为一个计数器点，IMO，在服务器上创建和运行上面的代码的能力比

print\r（$\u server）

的输出有更多的影响。作为一个计数器点，IMO，在服务器上创建和运行上面的代码的能力比

print\r（$\u server）的输出有更多的影响

。启用suhosin并重新启动apache仍允许打印$\u服务器。@Spechal它可能需要通过配置选项激活。遗憾的是，显然，这个主题上的不是最新的-它缺少

suhosin.server.strip

，例如，我知道它存在，并通过$\u服务器阻止XSS攻击。我目前看不到一个列出所有可用选项的资源，而且它们已关闭-很抱歉，这是因为开发人员拥有数据库的凭据。这似乎很荒谬，因为他们需要凭证来访问数据库，但上级不想让开发人员知道凭证是什么。@Spechal我明白了。但是如果环境变量被删除或取消设置，PHP脚本就不能再使用它们了，是吗？没错。对我来说，答案似乎是否定的。启用suhosin并重新启动apache仍然允许打印$u服务器。@Spechal它可能需要通过配置选项激活。遗憾的是，显然，这个主题上的不是最新的-它缺少

suhosin.server.strip

，例如，我知道它存在，并通过$\u服务器阻止XSS攻击。我目前看不到一个列出所有可用选项的资源，而且它们已关闭-很抱歉，这是因为开发人员拥有数据库的凭据。这似乎很荒谬，因为他们需要凭证来访问数据库，但上级不想让开发人员知道凭证是什么。@Spechal我明白了。但是如果环境变量被删除或取消设置，PHP脚本就不能再使用它们了，是吗？没错。在我看来，答案是，就我的情况而言，不。