17370845950

安全写入文件的正确做法是：先创建同分区临时文件，调用 Sync() 确保内容及元数据落盘，再用 Rename() 原子替换原文件；需避免 os.WriteFile、ioutil.WriteFile，防止并发冲突并处理信号中断。

写入前先创建临时文件再原子替换

直接 os.WriteFile 或 *os.File.Write 覆盖原文件，进程崩溃或断电时必然丢失旧数据。安全做法是：写入到同目录下的临时文件（如 data.json.tmp），写完调用 os.Sync() 刷盘，再用 os.Rename() 原子替换原文件。

• os.Rename() 在同一文件系统内是原子操作，不会出现“半新半旧”状态
• 临时文件必须与目标文件在同一个分区（否则 os.Rename() 会失败并回退为复制+删除）
• 务必在 os.Rename() 前调用 tmpFile.Sync()，否则可能只刷了文件内容，没刷文件元数据（如大小、修改时间），导致重命名后读取到截断内容

tmpPath := path.Join(dir, "config.json.tmp")
f, err := os.Create(tmpPath)
if err != nil {
    
return err
}
defer os.Remove(tmpPath) // 写失败时自动清理

if _, err := f.Write(data); err != nil {
    return err
}
if err := f.Sync(); err != nil { // 关键：确保内容落盘
    return err
}
if err := f.Close(); err != nil {
    return err
}
return os.Rename(tmpPath, targetPath) // 原子替换

使用 fsync 而不是仅 fclose

Go 的 *os.File.Close() 不保证数据已写入磁盘，它只释放句柄，内核可能仍缓存着脏页。尤其在 NFS 或某些 SSD 上，掉电后极易丢数据。

• 必须显式调用 file.Sync()（对应 POSIX fsync()），强制将内核缓冲区刷入持久存储
• file.Sync() 成功返回，才代表数据真正落盘（不保证后续不被硬件损坏，但至少过了 OS 缓存层）
• 不要依赖 defer file.Close() 来“兜底”，它不等价于 Sync()

避免使用 ioutil.WriteFile（已弃用）和 os.WriteFile（无 Sync）

ioutil.WriteFile 已被标记为 deprecated；os.WriteFile 内部使用 os.Create + Write + Close，但**没有调用 Sync()**，无法满足安全写入要求。

• 若用 os.WriteFile，相当于裸写，和直接 echo > file 一样脆弱
• 替代方案：要么手写带 Sync() 的临时文件流程（如上），要么用封装好的库如 github.com/fsnotify/fsnotify 不适用，应选 github.com/kevin-cantwell/safe-file 等专注安全写的轻量包
• 注意：os.WriteFile 的文档明确写着 “It writes the contents of data to a file named by filename”, 没提持久性保证

处理并发写入与信号中断

多个 goroutine 同时写同一文件，或程序收到 SIGINT/SIGTERM 时正在写，都可能导致中间态残留或数据错乱。

• 用 sync.Mutex 或 sync.RWMutex 控制写入口，避免多协程竞争临时文件名或覆盖逻辑
• 注册 os.Interrupt 信号 handler，在退出前等待当前写操作完成（需配合 context.WithTimeout 防卡死）
• 临时文件名建议加入 PID 和纳秒时间戳，如 fmt.Sprintf("conf.%d.%d.tmp", os.Getpid(), time.Now().UnixNano())，防止不同进程冲突

关键点就落在「临时文件 + Sync + Rename」这个三步链路上。少一步，比如忘了 Sync()，或者跨分区用了 Rename()，就等于没做。