is_executable() 仅检查当前用户对文件的系统执行权限位,不验证内容或语法;Windows 下恒为true不可靠;Linux/macOS下需注意noexec挂载、SELinux、符号链接等影响因素。
用 is_executable() 判断文件是否可执行
PHP 提供了原生函数 is_executable(),它直接检查当前运行 PHP 的用户(如 www-data、apache 或你的 CLI 用户)对该文件是否拥有执行权限。这个函数不关心文件内容或扩展名,只看系统级的 x 权限位。
- 返回
true表示该用户能执行它(例如./script.sh或php index.php这类调用在系统层面被允许) - 对 Windows 系统,该函数基本恒为
true(因 Windows 不依赖 POSIX 权限位),不可靠,需额外判断 - 注意:即使返回
true,也不代表脚本语法正确或能成功运行 —— 它只反映权限状态 - 路径必须是绝对路径或相对于当前工作目录的有效路径;相对路径容易因
chdir()或 Web 服务器配置出错
Linux/macOS 下手动验证权限位是否含 x
当 is_executable() 行为不符合预期(比如 SELinux 干预、挂载选项限制),可以退回到底层权限检查。核心是读取文件模式并测试执行位:
$mode = fileperms('/path/to/file');
$is_exec = ($mode & 0x40) || ($mode & 0x20) || ($mode & 0x10); // owner/group/others 的 x 位
但要注意:
-
fileperms()返回的是十进制的 mode(如 33206),不是ls -l显示的八进制,所以要用0x40(即八进制的 100)这类掩码 - 仅检测权限位不够:文件可能属主正确但被 mount 为
noexec,此时is_exec为 true,实际execve()仍失败 - Web 环境中,Apache/Nginx 通常以低权限用户运行,
stat类操作可能被 open_basedir 或 disable_functions 限制
Web 场景下误判常见原因
在 PHP-FPM 或 Apache mod_php 中,is_executable() 经常返回 false 即使文件明明有 x 权限,典型原因包括:
立即学习“PHP免费学习笔记(深入)”;
- 文件所在分区挂载时用了
noexec(常见于 /tmp 或某些容器卷)—— 此时系统拒绝任何 exec 调用,函数如实反馈 - SELinux 处于 enforcing 模式且上下文不匹配(如文件 context 是
user_home_t,但 httpd 需要httpd_exec_t) - PHP 配置禁用了相关函数:
disable_functions = exec,shell_exec,is_executable(注意:禁用后调用会警告并返回false) - 文件是符号链接,而目标文件权限正常,但链接本身无 x 权限(POSIX 规定 symlink 权限位无意义,但某些内核/FS 实现会影响行为)
真正需要“可执行”的场景才检测,别滥用
多数 Web 应用根本不需要 is_executable():PHP 脚本由解释器加载执行,不依赖文件 x 权限;上传的 .sh/.py 文件更不该由 PHP 直接执行。只有当你明确要 exec()、shell_exec() 或 proc_open() 调用外部二进制时,才值得检查。
这时候还要同步确认:escapeshellarg() 是否已用、目标文件是否在 open_basedir 内、对应二进制是否存在且路径正确 —— 权限只是其中一环,漏掉任意一项都可能导致静默失败。
