判断远程版本是否更新应使用php的version_compare()进行语义化比较,避免字符串比较错误;通过json接口获取远程版本信息,本地从常量或version文件读取当前版本;下载zip需设超时、校验sha256和文件大小;解压须过滤路径遍历风险,原子化切换目录;更新前备份完整快照至独立路径,失败后可回滚;全程记录日志并确保每步可清理。
怎么判断远程版本比本地新
核心是让本地程序能安全、可靠地知道“该不该更新”。不能只比对字符串,得用语义化版本(如 v2.1.0)做解析比较。PHP 自带的 version_compare() 是最稳妥的选择,它能正确处理 alpha、beta、rc 等后缀,也支持 、<code>!=、ge 等操作符。
常见错误是直接用 strcmp() 或 > 比较版本字符串,结果 v2.10.0 会被判小于 v2.2.0 —— 因为字符串比较时 "10" 的首字符 "1" 小于 "2"。
- 远程版本信息建议放在一个轻量 JSON 接口里,例如
/update/latest.json,内容包含{"version": "v3.2.1", "download_url": "https://example.com/updates/app-v3.2.1.zip"} - 本地读取当前版本推荐从常量或独立配置文件(如
VERSION文件)中获取,避免硬编码在多处 - 网络请求必须设超时(
stream_context_create(['http' => ['timeout' => 5]])),否则卡住整个更新流程
下载 ZIP 包并校验完整性
自动更新最怕下了一半就写入,或者被中间人篡改。所以下载后必须验证 SHA256(不是 MD5)和文件大小,两者缺一不可。
容易踩的坑:用 file_get_contents() 直接拉大 ZIP,内存爆掉;或用 curl 但没检查 HTTP 200 状态码,404 也会返回空内容导致解压失败。
立即学习“PHP免费学习笔记(深入)”;
- 用
file_put_contents()配合fopen('php://temp')或临时文件流,边下载边写磁盘,不占内存 - 远程 JSON 中应同时提供
sha256字段,下载完立即调用hash_file('sha256', $tmp_zip)校验 - ZIP 文件名建议含版本号(如
app-v3.2.1.zip),避免缓存或并发时覆盖 - 别忘了检查
filesize($tmp_zip) === (int)$remote_size,有些 CDN 会截断响应但不报错
安全解压并替换文件
PHP 的 ZipArchive 默认允许路径遍历(比如 ../etc/passwd),这是严重安全隐患。必须手动过滤所有 ZipArchive::getNameIndex() 返回的路径,禁止任何 ..、/ 开头或绝对路径成分。
另一个关键点:不能边解压边删旧文件,否则服务中途崩掉。要先解压到临时目录(如 app-new/),再原子化切换(rename())。
- 解压前用
realpath()+dirname()锁定目标根目录(如/var/www/myapp),每个文件路径都必须以该根目录为前缀 - 用
ZipArchive::extractTo()时传入空数组过滤掉非 PHP/JS/CSS 等业务文件,防止上传恶意 .htaccess 或 webshell - 替换前执行
chown和chmod(如果系统允许),确保新文件权限与原目录一致,尤其注意vendor/下的可执行脚本 - 执行
rename('app-new/', 'app/')前,确保app-new/已完整解压且通过基础文件存在性检查(如index.php、config/存在)
更新失败后如何回滚
没有回滚机制的自动更新等于埋雷。最简单可靠的方案是:每次成功更新后,把上一版打包存为 backup-20240520-v3.1.0.zip,并记录时间戳和版本号到 backup.meta。
不要依赖 Git 或 rsync 做运行时回滚——生产环境未必装 Git,且代码可能已被修改。备份必须是更新前那一刻的完整快照。
- 备份压缩用
ZipArchive,排除cache/、logs/、runtime/这类动态目录(它们不该进版本控制) - 备份文件保存路径需独立于主程序目录(如
/var/backups/myapp/),防止更新脚本误删自己 - 回滚操作本质是解压备份包 +
rename()切换,和正向更新逻辑一致,只是数据源不同 - 更新脚本退出前务必写日志(
error_log("update v3.2.1 → v3.2.2 success")),否则出问题时连“到底跑没跑”都难查
真正的难点不在下载或解压,而在于“更新过程中服务不能中断”和“出错后状态可预测”。每一步都要有明确的失败出口和清理动作,比如下载失败就删临时 ZIP,解压失败就删 app-new/。没人会替你擦屁股,脚本得自己兜底。
