在 docker 容器中运行 php 时,`mkdir()` 报错 “permission denied”,根本原因是 apache(以 `www-data` 用户身份运行)对 `/var/www/html/` 下目录无写入权限;需在构建镜像时正确设置文件所有权。
当使用官方 php:7.3-apache 镜像时,Apache 默认以 www-data 用户和组启动服务,而通过 COPY . /var/www/html/ 复制进容器的文件,默认归属为 root:root(取决于宿主机用户权限),导致 PHP 进程无法在该路径下创建子目录。
你提供的修复方案——在 Dockerfile 中 COPY 后立即执行:
RUN chown -R www-data:www-data /var/www
✅ 是标准且有效的做法。它将 /var/www 及其全部子目录、文件的所有权递归赋予 www-data 用户,确保 PHP 脚本(由 Apache 子进程执行)具备读写权限。
但请注意以下关键细节,以避免潜在问题:
立即学习“PHP免费学习笔记(深入)”;
✅ 推荐的完整 Dockerfile 改进版
FROM php:7.3-apache
# 安装扩展与工具
RUN apt-get update && apt-get install -y git && rm -rf /var/lib/apt/lists/*
RUN docker-php-ext-install pdo pdo_mysql mysqli
RUN a2enmod rewrite
# 复制应用代码
COPY . /var/www/html/
# 关键:授权 www-data 对 web 根目录的完全控制权
RUN chown -R www-data:www-data /var/www/html/ \
&& chmod -R u+rw /var/www/html/
EXPOSE 80/tcp 443/tcp? 提示:建议显式作用于 /var/www/html/(而非整个 /var/www),更精准且符合最小权限原则。
⚠️ 补充注意事项
- 不要依赖 0777 权限绕过所有权问题:mkdir($path, 0777, true) 中的 0777 是 umask 限制下的最大权限掩码,实际生效权限仍受父目录权限和进程 UID/GID 约束。若进程无写权限,即使设 0777 也必然失败。
- 避免在生产环境使用 0777:开发阶段可临时使用,但应改为更安全的权限(如 0755 目录 + 0644 文件),并通过 umask 或 chmod 统一管控。
- 验证权限是否生效:可在容器内执行 docker exec -it php6 ls -ld /var/www/html/,确认输出类似 drwxr-xr-x 1 www-data www-data ...。
- 若挂载了卷(volume):Docker Compose 中未对 website 服务配置 volumes,因此上述 chown 有效;但若后续添加类似 - ./src:/var/www/html 的绑定挂载,则 chown 将失效(宿主机文件权限主导),此时需改用 user: 指令或调整宿主机文件属主。
✅ 最终 PHP 代码优化建议(增强健壮性)
通过以上配置与实践,即可彻底解决 Docker 中 PHP mkdir() 的权限拒绝问题,兼顾安全性与可维护性。
