直接用 hash_file() 比对文件哈希最可靠:分别计算 sha256 值后严格比较(===),并提前检查 file_exists() 和 is_readable();返回 false 时需排查路径、权限、符号链接等问题;不可仅依赖文件大小或修改时间校验。
用 hash_file() 直接比对两个文件的哈希值
最直接的方式是分别计算两个文件的哈希,再比较字符串是否完全相等。PHP 内置的 hash_file() 支持多种算法(如 md5、sha256、sha384),默认使用 md5,但生产环境建议选更强的 sha256。
示例:
$hash1 = hash_file('sha256', '/path/to/file1.bin');
$hash2 = hash_file('sha256', '/path/to/file2.bin');
if ($hash1 === $hash2) {
echo "文件内容一致";
}
- 必须用严格比较
===,避免类型转换导致误判(比如哈希以0e开头可能被当成科学计数法) - 如果任一文件不存在或不可读,
hash_file()返回false,需提前检查file_exists()和is_readable() - 大文件不会爆内存——
hash_file()是流式计算,边读边哈希
校验时遇到 false 返回值该怎么排查
hash_file() 返回 false 不代表哈希值为 "false" 字符串,而是操作失败。常见原因有权限、路径、符号链接断裂等。
- 先确认路径真实存在:
var_dump(file_exists($path)); - 再检查可读性:
var_dump(is_readable($path));(注意:web 服务器用户如www-data可能无权读取某些目录) - 如果是相对路径,确保当前工作目录(
getcwd())符合预期;建议统一用绝对路径 - 符号链接目标不可达也会失败,可用
realpath()展开后验证
需要支持断点续传或分块校验?别硬刚 hash_file()
hash_file() 是全量读取,不支持跳过开头或只读某一段。若你实际要对比的是「上传中文件的已接收部分」或「远程分片」,得手动控制流:
立即学习“PHP免费学习笔记(深入)”;
- 用
fopen()+hash_init()/hash_update()分段读取并更新哈希上下文 - 特别注意二进制模式:
fopen($path, 'rb'),否则 Windows 下换行符可能被篡改 - 每读一块就调
hash_update($ctx, $chunk),最后用hash_final($ctx)获取结果 - 这种写法更灵活,但也更容易出错——比如忘记
hash_init()或重复调用hash_final()
为什么不能只比文件大小或修改时间
文件大小相同 ≠ 内容相同;修改时间一致 ≠ 未被篡改。攻击者可以轻易伪造 touch 时间戳,或构造不同内容但相同长度的文件(尤其是 MD5 已被证明不安全)。
- 仅靠
filesize()判断会漏掉大量误报/漏报,完全不可用于校验场景 - 如果业务允许弱校验(如内部脚本快速预筛),可先比大小,但后续必须补哈希
- SHA-256 在目前仍是推荐的平衡点:足够抗碰撞、PHP 原生支持、性能损耗可控
真正容易被忽略的是错误处理边界——比如一个文件正在被写入,hash_file() 可能读到中间状态,得到不稳定哈希。校验前加锁(flock())或确保文件已关闭,比换算法更重要。
