php文件操作审计必须统一收口至封装函数或stream_wrapper_register,日志通过error_log/syslog或异步队列写入,需采集调用栈、上下文及执行用户,避免日志黑洞。
PHP 文件操作日志必须绕开 fopen / file_put_contents 直接写入
直接在业务代码里每调用一次 fopen 就记一条日志,看似简单,实则不可靠:日志本身可能失败(磁盘满、权限不足)、干扰主流程、甚至引发递归记录(比如日志文件被 touch 触发自身监听)。真正可行的路径只有一条:把文件操作收口到自定义封装函数中,强制走统一日志通道。
- 所有文件写入必须通过
safe_file_write($path, $content, $mode = 'w')这类函数,而非裸调fwrite - 日志写入用
error_log()+ syslog 或异步队列,避免阻塞;不要用file_put_contents(..., FILE_APPEND)写日志文件本身 - 注意
copy()、rename()、unlink()这些“非写入但属变更”的操作,同样要进封装层,否则审计链断裂
用 stream_wrapper_register 拦截全局文件操作最彻底
如果项目已存在大量裸文件操作且无法全部重构,stream_wrapper_register 是唯一能无侵入捕获 fopen('xxx.txt', 'w')、file_get_contents('yyy.json') 等行为的方式。它本质是把 php:// 之外的所有协议(如 file://)重定向到你写的类里处理。
- 注册前必须调用
stream_wrapper_unregister('file'),否则会报Cannot register wrapper "file" - 你的 wrapper 类必须实现
stream_open、stream_write、unlink、rename等至少 7 个方法,缺一个就导致对应操作失败 - PHP 8.0+ 中
stream_stat返回结构变化,若日志依赖文件大小或修改时间,需适配$stat[7](size)和$stat[9](mtime)索引
inotifywait 在 Linux 上可补位,但别指望它覆盖所有场景
当 PHP 层无法控制文件调用来源(比如 CLI 脚本、crontab 中的 cp 或 rsync),inotifywait 是唯一能从系统层捕获真实变更的手段。但它不是 PHP 原生能力,必须用 proc_open 启动子进程并持续读取 stdout。
- 启动命令必须加
-m(monitor 模式)和-e moved_to,create,delete,attrib,漏掉attrib就抓不到chmod或chown - 输出格式用
--format '%w%f %e %T' --timefmt '%Y-%m-%d %H:%M:%S',否则时间字段无法对齐 PHP 的date() - 子进程意外退出不会自动重启,得在 PHP 主循环里检查
proc_get_status()并手动proc_open新实例
审计日志字段不能只记 $_SERVER['SCRIPT_NAME']
很多日志只存脚本路径,结果发现全是 /var/www/html/index.php——因为所有请求都经由前端控制器分发。真正要定位操作源头,得结合调用栈与上下文。
立即学习“PHP免费学习笔记(深入)”;
- 必须采集
debug_backtrace(DEBUG_BACKTRACE_IGNORE_ARGS, 2)的第 1 层(即实际调用fopen的那个函数名和行号) - CLI 场景下
$_SERVER['argv']比SCRIPT_NAME有用得多;Web 场景下补充$_SERVER['REQUEST_URI']和$_SERVER['HTTP_USER_AGENT'] - 敏感操作(如写入
/etc/下文件)应额外记录posix_getpwuid(posix_geteuid())['name'],确认执行用户而非仅看get_current_user()
文件审计不是加几行 file_put_contents 就完事的事。wrapper 注册失败、inotify 子进程僵死、backtrace 深度不够——这些点任何一个没兜住,日志就出现黑洞。留空比记错强,宁可某次变更没日志,也不能让日志内容误导调查方向。
