最直接安全的PHP日志写入方案是用fopen()（'a'模式）、fwrite()、flock()加锁、date('c')时间戳、HTML转义用户输入、绝对路径及分级隔离存储。

PHP用fopen()和fwrite()写日志文件最直接

不需要额外扩展，原生函数就能搞定。关键不是“能不能写”，而是“怎么写才安全、可读、不丢日志”。fopen()打开文件时必须用'a'（追加）模式，绝不能用'w'，否则每次写入都会清空旧内容。

• 'a' 模式自动定位到文件末尾，适合日志累加
• 务必检查fopen()返回值是否为false，权限不足或路径不存在时会失败
• 写完记得fclose()，否则可能缓存未刷盘，进程崩溃时丢日志
• 路径建议用绝对路径，比如/var/log/myapp/app.log，避免相对路径在CLI/Web下行为不一致

日志格式推荐带时间戳、级别、消息三段式

纯文本日志要能快速定位问题，至少得有“什么时候”“什么级别”“发生了什么”。PHP的date('c')输出ISO 8601格式（如2025-05-22T14:30:45+08:00），兼容性好，也方便后续用awk或ELK解析。

• 典型格式：[date('c')] [$level] $message\n
• 级别用INFO、WARNING、ERROR等大写字符串，比数字更直观
• 消息里别直接拼接用户输入，先用htmlspecialchars($msg, ENT_QUOTES, 'UTF-8')或json_encode()转义，防换行注入和乱码
• 每条日志结尾加\n，否则所有内容会挤在同一行

并发写日志必须加flock()锁

Web服务器多进程或CLI多线程场景下，多个PHP进程同时fwrite()同一文件，会导致日志错乱甚至截断——这是最常被忽略的坑。

• 在fwrite()前调用flock($fp, LOCK_EX)，写完立即flock($fp, LOCK_UN)
• 不要依赖file_put_contents(..., FILE_APPEND)，它内部没做锁，高并发下照样乱
• 如果锁等待太久影响性能，可考虑用syslog()或写入数据库，但本地文件仍是最快最轻量的选择

错误日志别只写文件，要配合error_log()触发系统级记录

PHP自身的警告、致命错误（如Parse error）不会经过你的日志函数。想统一捕获，得靠set_error_handler()和register_shutdown_function()，但注意：前者抓不到Fatal error，后者才能补全。

• error_log($msg, 3, '/path/to/php_error.log') 是绕过自定义函数、直写文件的保底方式
• 在register_shutdown_function()里用error_get_last()判断是否发生致命错误，再格式化写入
• 别把错误日志和业务日志混在一个文件里，排查时互

  

  相干扰；按app.log和error.log分开更清晰

实际最难的不是写几行代码，是让日志在高并发、长时间运行、磁盘满、权限突变这些边界条件下依然可靠——锁、路径、编码、分级、隔离，每个点漏掉一个，线上就少一条关键线索。