最直接可靠的文件哈希比对方案是用md5_file()逐个计算并排序后比对;需处理子目录、隐藏文件、大文件性能、命令注入风险、加盐防碰撞及忽略时间戳/权限等细节。
用 md5_file() 遍历比对每个文件的哈希值
最直接可靠的方案是逐个读取目标文件夹中所有文件,计算其 md5_file() 值,再与已知基准哈希列表比对。注意必须统一遍历顺序(如按 sort($files) 排序),否则相同文件集合可能因顺序不同导致比对失败。
常见错误是忽略子目录或跳过隐藏文件(如 .git、.env),导致漏检。若需包含子目录,建议用 RecursiveIteratorIterator + RecursiveDirectoryIterator,并手动过滤掉 . 和 ..;若要排除特定路径,可在循环中用 stripos($path, '.git') !== false 判断跳过。
性能上,大文件会明显拖慢速度——100MB 文件调用一次 md5_file() 可能耗时数百毫秒。生产环境若需高频校验,应预先缓存哈希值,或改用分块哈希(如只取前 64KB)折中。
用 shell_exec('diff -r') 借助系统命令快速对比目录结构
Linux/macOS 下可直接调用 diff -r dir1 dir2,输出差异行即为不一致项。PHP 中用 shell_exec() 捕获结果,再判断输出是否为空字符串:
立即学习“PHP免费学习笔记(深入)”;
$output = shell_exec("diff -r /path/to/old /path/to/new 2>&1");
if (trim($output) === '') {
echo "一致";
} else {
echo "不一致:\n" . $output;
}
注意点:diff 默认不比较空目录,且对文件权限、修改时间敏感(即使内容相同,mtime 不同也会报差异)。若只需内容一致,加 -q(静默模式)或配合 --no-dereference 避免符号链接干扰;Windows 用户需安装 Git Bash 或 WSL 才有 diff,不可直接依赖。
安全风险:若路径来自用户输入,必须用 escapeshellarg() 包裹,否则可能触发命令注入。
用 hash_hmac_file() 加盐防止哈希被伪造
当校验逻辑暴露在不可信环境(如 API 返回校验结果),单纯用 md5_file() 易被构造碰撞。此时应改用带密钥的哈希,如 hash_hmac_file('sha256', $file, $secret_key)。
关键细节:
-
$secret_key必须保密且长度足够(建议 ≥32 字节),不能硬编码在脚本里,应从环境变量或配置文件读取 - 同一组文件必须使用相同
$secret_key生成基准哈希,否则无法比对 - PHP 7.4+ 支持
hash_hmac_file(),低版本需先file_get_contents()再用hash_hmac(),但内存占用高,慎用于大文件
忽略时间戳和权限时,stat() 字段要主动过滤
很多“内容一致但校验失败”的问题,根源在于默认比对了 mtime、ctime 或 mode。若业务只关心文件内容,遍历文件时应明确跳过这些字段:
例如用 array_diff_assoc($stat1, $stat2) 比对前,先 unset 掉 ['mtime', 'ctime', 'atime', 'mode'];或者更稳妥地,只提取并比对 ['size', 'ino', 'dev'](注意:ino 和 dev 在跨文件系统时不可靠,仅限同盘校验)。
另一个易忽略点:NTFS 和 ext4 对文件名大小写的处理不同,若目录在 Windows 和 Linux 间同步,需统一转小写再比对文件名,否则 Readme.md 和 README.md 会被视为不同文件。
