```html

PHP防篡改保护机制

在Web应用安全中，防止关键文件（如配置、核心类库）被恶意篡改是基础防线。PHP虽无内置“文件防篡改”功能，但可通过完整性校验 + 权限控制 + 运行时检测构建多层防护体系。

1. 文件完整性校验（推荐）

对敏感文件（如 config.php、bootstrap.php）生成并验证SHA-256哈希值：

<?php
// config_integrity.php —— 部署时生成校验码
$configPath = __DIR__ . '/config.php';
if (file_exists($configPath)) {
    $hash = hash_file('sha256', $configPath);
    file_put_contents(__DIR__ . '/config.sha256', $hash);
    echo "✅ 校验码已生成：{$hash}\n";
}
?>

<?php
// 启动时校验（如 index.php 开头）
$configPath = __DIR__ . '/config.php';
$hashFile = __DIR__ . '/config.sha256';

if (file_exists($hashFile) && file_exists($configPath)) {
    $expected = trim(file_get_contents($hashFile));
    $actual = hash_file('sha256', $configPath);
    
    if ($expected !== $actual) {
        error_log("[SECURITY] config.php 被篡改！预期: {$expected}, 实际: {$actual}");
        http_response_code(500);
        die('系统异常：配置文件完整性校验失败');
    }
}
?>

2. 关键目录权限加固

通过系统级权限限制写入（Linux示例）：

# 仅允许Web服务器读取，禁止写入和执行
chmod 444 config.php
chown root:www-data config.php
# 禁用PHP脚本执行敏感目录
# Apache: <Directory "/var/www/app/config"> php_flag engine off </Directory>

3. 运行时动态校验（进阶）

对核心类自动监控（适用于框架入口）：

<?php
function verifyCoreFiles(array $files): bool {
    $whitelist = [
        'Database.php' => 'a1b2c3d4...', // 预存哈希（建议存于环境变量或加密存储）
        'Router.php'   => 'e5f6g7h8...',
    ];
    
    foreach ($files as $file) {
        if (!isset($whitelist[$file]) || 
            hash_file('sha256', __DIR__ . '/core/' . $file) !== $whitelist[$file]) {
            return false;
        }
    }
    return true;
}

if (!verifyCoreFiles(['Database.php', 'Router.php'])) {
    trigger_error('核心组件完整性异常', E_USER_ERROR);
}
?>

防篡改不是“一劳永逸”，而是持续的校验→告警→响应闭环。结合Web服务器ACL、PHP Suhosin扩展（已弃用但仍有遗留场景）、以及现代方案如OPcache校验，可显著提升攻击成本。安全始于细节，止于敬畏。

```