關(guān)鍵要點

• 監(jiān)控文件完整性對於網(wǎng)站管理至關(guān)重要，它有助於檢測何時意外或惡意添加、修改、刪除或損壞文件。對文件內(nèi)容進行哈希處理是監(jiān)控此類更改的可靠方法。
• PHP 的 hash_file() 函數(shù)可用於創(chuàng)建用於監(jiān)控的文件結(jié)構(gòu)配置文件。可以存儲每個文件的哈希值，以便以後進行比較以檢測任何更改。
• 可以設(shè)置數(shù)據(jù)庫表來存儲文件的哈希值，其中 file_path 存儲服務(wù)器上文件的路徑，file_hash 存儲文件的哈希值。
• PHP 的 RecursiveDirectoryIterator 類可用於遍歷文件樹並收集用於比較的哈希值。然後可以使用這些哈希值更新 integrity_hashes 數(shù)據(jù)庫?？梢允褂?PHP 的 array_diff_assoc() 函數(shù)檢查差異，這有助於識別已添加、刪除或更改的文件。

應(yīng)對網(wǎng)站管理中的各種情況

考慮一下在管理網(wǎng)站時如何解決以下情況：

• 意外添加、修改或刪除文件
• 惡意添加、修改或刪除文件
• 文件損壞

更重要的是，您是否知道是否發(fā)生了這些情況之一？如果您的答案是否定的，請繼續(xù)閱讀。在本指南中，我將演示如何創(chuàng)建文件結(jié)構(gòu)配置文件，該配置文件可用於監(jiān)控文件的完整性。

確定文件是否已被更改的最佳方法是對其內(nèi)容進行哈希處理。 PHP 提供了多種哈希函數(shù)，但對於此項目，我決定使用 hash_file() 函數(shù)。它提供了各種不同的哈希算法，如果我決定稍後進行更改，這將使我的代碼易於修改。哈希用於各種應(yīng)用程序，從密碼保護到 DNA 測序。哈希算法通過將數(shù)據(jù)轉(zhuǎn)換為固定大小的可重複加密字符串來工作。它們的設(shè)計使得即使對數(shù)據(jù)進行輕微修改也應(yīng)該產(chǎn)生非常不同的結(jié)果。當兩個或多個不同的數(shù)據(jù)產(chǎn)生相同的字符串結(jié)果時，則稱為“衝突”。每種哈希算法的強度可以通過其速度和衝突概率來衡量。在我的示例中，我將使用 SHA-1 算法，因為它速度快，衝突概率低，並且已被廣泛使用和充分測試。當然，歡迎您研究其他算法並使用任何您喜歡的算法。獲得文件的哈希值後，可以將其存儲起來以便以後進行比較。如果以後對文件進行哈希處理沒有返回與之前相同的哈希字符串，那麼我們就知道該文件已被更改。

數(shù)據(jù)庫

首先，我們需要佈局一個基本表來存儲文件的哈希值。我將使用以下模式：

CREATE TABLE integrity_hashes (
    file_path VARCHAR(200) NOT NULL,
    file_hash CHAR(40) NOT NULL,
    PRIMARY KEY (file_path)
);

file_path 存儲服務(wù)器上文件的路徑，由於該值始終是唯一的（因為兩個文件不能佔用文件系統(tǒng)中的同一位置），因此它是我們的主鍵。我將其最大長度指定為 200 個字符，這應(yīng)該允許一些較長的文件路徑。 file_hash 存儲文件的哈希值，它將是一個 SHA-1 40 字符的十六進製字符串。

收集文件

下一步是構(gòu)建文件結(jié)構(gòu)的配置文件。我們定義要開始收集文件的路徑，並遞歸地迭代每個目錄，直到我們覆蓋了文件系統(tǒng)的整個分支，並可以選擇性地排除某些目錄或文件擴展名。我們在遍歷文件樹時收集所需的哈希值，然後將其存儲在數(shù)據(jù)庫中或用於比較。 PHP 提供了幾種遍歷文件樹的方法；為簡單起見，我將使用 RecursiveDirectoryIterator 類。

<?php
define("PATH", "/var/www/");
$files = array();

// 要獲取的擴展名，空數(shù)組將返回所有擴展名
$ext = array("php");

// 要忽略的目錄，空數(shù)組將檢查所有目錄
$skip = array("logs", "logs/traffic");

// 構(gòu)建配置文件
$dir = new RecursiveDirectoryIterator(PATH);
$iter = new RecursiveIteratorIterator($dir);
while ($iter->valid()) {
    // 跳過不需要的目錄
    if (!$iter->isDot() && !in_array($iter->getSubPath(), $skip)) {
        // 獲取特定文件擴展名
        if (!empty($ext)) {
            // PHP 5.3.4: if (in_array($iter->getExtension(), $ext)) {
            if (in_array(pathinfo($iter->key(), PATHINFO_EXTENSION), $ext)) {
                $files[$iter->key()] = hash_file("sha1", $iter->key());
            }
        } else {
            // 忽略文件擴展名
            $files[$iter->key()] = hash_file("sha1", $iter->key());
        }
    }
    $iter->next();
}

請注意，我在 $skip 數(shù)組中兩次引用了相同的文件夾 logs。僅僅因為我選擇忽略特定目錄並不意味著迭代器也會忽略所有子目錄，這取決於您的需求，這可能很有用或很煩人。 RecursiveDirectoryIterator 類使我們可以訪問多種方法：

• valid() 檢查我們是否正在使用有效文件
• isDot() 確定目錄是否為“.”或“..”
• getSubPath() 返回文件指針當前所在的文件夾名稱
• key() 返回完整路徑和文件名
• next() 重新啟動循環(huán)

還有更多可用的方法，但大多數(shù)情況下，上面列出的方法是我們所需的所有方法，儘管在 PHP 5.3.4 中添加了 getExtension() 方法，該方法返回文件擴展名。如果您的 PHP 版本支持它，您可以使用它來過濾不需要的條目，而不是我使用 pathinfo() 所做的操作。執(zhí)行後，代碼應(yīng)使用類似於以下內(nèi)容的結(jié)果填充 $files 數(shù)組：

<code>Array
(
    [/var/www/test.php] => b6b7c28e513dac784925665b54088045cf9cbcd3
    [/var/www/sub/hello.php] => a5d5b61aa8a61b7d9d765e1daf971a9a578f1cfa
    [/var/www/sub/world.php] => da39a3ee5e6b4b0d3255bfef95601890afd80709
)</code>

構(gòu)建配置文件後，更新數(shù)據(jù)庫非常容易。

<?php
$db = new PDO("mysql:host=" . DB_HOST . ";dbname=" . DB_NAME,
    DB_USER, DB_PASSWORD);

// 清除舊記錄
$db->query("TRUNCATE integrity_hashes");

// 插入更新的記錄
$sql = "INSERT INTO integrity_hashes (file_path, file_hash) VALUES (:path, :hash)";
$sth = $db->prepare($sql);
$sth->bindParam(":path", $path);
$sth->bindParam(":hash", $hash);
foreach ($files as $path => $hash) {
    $sth->execute();
}

檢查差異

您現(xiàn)在知道如何構(gòu)建目錄結(jié)構(gòu)的新配置文件以及如何更新數(shù)據(jù)庫中的記錄。下一步是將其組合到某種實際應(yīng)用程序中，例如帶有電子郵件通知的 cron 作業(yè)、管理界面或任何您喜歡的其他內(nèi)容。如果您只想收集已更改的文件列表，而不在乎它們?nèi)绾胃?，那麼最簡單的方法是將數(shù)據(jù)從數(shù)據(jù)庫提取到類似於 $files 的數(shù)組中，然後使用 PHP 的 array_diff_assoc() 函數(shù)來去除不需要的內(nèi)容。

CREATE TABLE integrity_hashes (
    file_path VARCHAR(200) NOT NULL,
    file_hash CHAR(40) NOT NULL,
    PRIMARY KEY (file_path)
);

在此示例中，$diffs 將填充任何發(fā)現(xiàn)的差異，或者如果文件結(jié)構(gòu)完整，則它將是一個空數(shù)組。與 array_diff() 不同，array_diff_assoc() 將在比較中使用鍵，這在我們發(fā)生衝突時很重要，例如兩個空文件具有相同的哈希值。如果您想更進一步，您可以添加一些簡單的邏輯來準確確定文件是如何受到影響的，無論是被刪除、更改還是添加。

<?php
define("PATH", "/var/www/");
$files = array();

// 要獲取的擴展名，空數(shù)組將返回所有擴展名
$ext = array("php");

// 要忽略的目錄，空數(shù)組將檢查所有目錄
$skip = array("logs", "logs/traffic");

// 構(gòu)建配置文件
$dir = new RecursiveDirectoryIterator(PATH);
$iter = new RecursiveIteratorIterator($dir);
while ($iter->valid()) {
    // 跳過不需要的目錄
    if (!$iter->isDot() && !in_array($iter->getSubPath(), $skip)) {
        // 獲取特定文件擴展名
        if (!empty($ext)) {
            // PHP 5.3.4: if (in_array($iter->getExtension(), $ext)) {
            if (in_array(pathinfo($iter->key(), PATHINFO_EXTENSION), $ext)) {
                $files[$iter->key()] = hash_file("sha1", $iter->key());
            }
        } else {
            // 忽略文件擴展名
            $files[$iter->key()] = hash_file("sha1", $iter->key());
        }
    }
    $iter->next();
}

當我們遍歷數(shù)據(jù)庫中的結(jié)果時，我們會進行多次檢查。首先，使用 array_key_exists() 檢查我們的數(shù)據(jù)庫中的文件路徑是否出現(xiàn)在 $files 中，如果沒有，則該文件必須已被刪除。其次，如果文件存在但哈希值不匹配，則該文件必須已被更改或未更改。我們將每個檢查存儲到名為 $tmp 的臨時數(shù)組中，最後，如果 $files 中的數(shù)量大於數(shù)據(jù)庫中的數(shù)量，那麼我們就知道那些剩餘的未檢查文件已被添加。完成後，$diffs 要么是一個空數(shù)組，要么包含以多維數(shù)組形式找到的任何差異，這可能如下所示：

<code>Array
(
    [/var/www/test.php] => b6b7c28e513dac784925665b54088045cf9cbcd3
    [/var/www/sub/hello.php] => a5d5b61aa8a61b7d9d765e1daf971a9a578f1cfa
    [/var/www/sub/world.php] => da39a3ee5e6b4b0d3255bfef95601890afd80709
)</code>

為了以更用戶友好的格式顯示結(jié)果（例如管理界面），您可以例如遍歷結(jié)果並以項目符號列表的形式輸出它們。

<?php
$db = new PDO("mysql:host=" . DB_HOST . ";dbname=" . DB_NAME,
    DB_USER, DB_PASSWORD);

// 清除舊記錄
$db->query("TRUNCATE integrity_hashes");

// 插入更新的記錄
$sql = "INSERT INTO integrity_hashes (file_path, file_hash) VALUES (:path, :hash)";
$sth = $db->prepare($sql);
$sth->bindParam(":path", $path);
$sth->bindParam(":hash", $hash);
foreach ($files as $path => $hash) {
    $sth->execute();
}

此時，您可以提供一個鏈接來觸發(fā)使用新的文件結(jié)構(gòu)更新數(shù)據(jù)庫的操作（在這種情況下，您可能選擇將 $files 存儲在會話變量中），或者如果您不批準差異，您可以根據(jù)需要處理它們。

總結(jié)

希望本指南能幫助您更好地理解文件完整性監(jiān)控。在您的網(wǎng)站上安裝此類內(nèi)容是一種寶貴的安全措施，您可以放心，您的文件將完全按照您的意圖保持不變。當然，不要忘記定期備份。以防萬一。

(此處應(yīng)保留原文的FAQ部分，因為該部分內(nèi)容與代碼部分無關(guān)，屬於補充說明，不屬於偽原創(chuàng)的範疇)

以上是PHP主|監(jiān)視文件完整性的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！