PHP无法直接记录文件夹访问日志,因为静态目录请求由Web服务器(如Nginx/Apache)直接处理,不经过PHP;可靠方案只有启用Web服务器access_log或通过重写规则将目录访问路由至PHP中间层统一拦截记录。
PHP 无法直接记录文件夹访问日志
PHP 是服务端脚本语言,本身不监听或拦截对静态资源(如 /uploads/、/files/)的 HTTP 请求。用户直接通过 URL 访问一个文件夹(比如 https://example.com/data/),这个请求根本不会经过 PHP 解析器,而是由 Web 服务器(Nginx/Apache)直接处理 —— 所以你在 PHP 里写 file_put_contents() 或钩子函数,对这类访问完全无效。
真正生效的日志方案只有两种:Web 服务器日志 + 中间层拦截
想拿到“谁在什么时候访问了哪个文件夹”,必须从请求入口处捕获。常见做法是:
- 启用 Nginx 的
access_log,并用log_format提取 URI 路径,过滤出含目录名的请求(如/downloads/、/private/) - 把所有敏感目录的访问重写到一个 PHP 入口(如
/proxy.php?path=reports/2024/),再由 PHP 统一记录$_SERVER['REMOTE_ADDR']、$_SERVER['REQUEST_TIME_FLOAT']、$_GET['path']等信息 - Apache 下可用
.htaccess+RewriteRule实现类似重写,但注意AllowOverride必须开启且配置允许重写
用 PHP 拦截时要注意路径合法性与性能损耗
如果走 PHP 中间层(比如 /access.php?dir=logs/),必须严格校验 $_GET['dir'],否则容易引发路径遍历漏洞:
- 禁止出现
../、%2e%2e%2f、空字节等绕过字符,建议用basename()+ 白名单目录前缀(如只允许data/、exports/) - 不要在每次请求里都打开/追加写日志文件,高并发下会卡住;改用
error_log()发到 syslog,或异步写入 Redis 队列再由后台消费 - 避免在日志逻辑里调用
file_exists()或scandir(),这些操作可能暴露目录结构或触发慢请求
别混淆「文件被下载」和「文件夹被访问」
浏览器访问 /files/ 显示目录列表,本质是 Web 服务器启用了索引功能(Nginx 的 autoindex on,Apache 的 Options +Indexes)。这种行为本身不产生 PHP 日志,也不触发任何 PHP 脚本 —— 它只是服务器返回了一个 HTML 页面。如果你看到某次“文件夹访问”出现在 PHP 日志里,那大概率是前端 JS 主动请求了某个 PHP 接口来获取目录内容,而不是用户直接点开 URL。
立即学习“PHP免费学习笔记(深入)”;
真要审计敏感目录访问,盯紧 Web 服务器 access log 里状态码为 200 且 URI 以 / 结尾的请求,比在 PHP 层埋点靠谱得多。
