安全写入文件的正确做法是:先创建同分区临时文件,调用 Sync() 确保内容及元数据落盘,再用 Rename() 原子替换原文件;需避免 os.WriteFile、ioutil.WriteFile,防止并发冲突并处理信号中断。
写入前先创建临时文件再原子替换
直接 os.WriteFile 或 *os.File.Write 覆盖原文件,进程崩溃或断电时必然丢失旧数据。安全做法是:写入到同目录下的临时文件(如 data.json.tmp),写完调用 os.Sync() 刷盘,再用 os.Rename() 原子替换原文件。
-
os.Rename()在同一文件系统内是原子操作,不会出现“半新半旧”状态 - 临时文件必须与目标文件在同一个分区(否则
os.Rename()会失败并回退为复制+删除) - 务必在
os.Rename()前调用tmpFile.Sync(),否则可能只刷了文件内容,没刷文件元数据(如大小、修改时间),导致重命名后读取到截断内容
tmpPath := path.Join(dir, "config.json.tmp")
f, err := os.Create(tmpPath)
if err != nil {
return err
}
defer os.Remove(tmpPath) // 写失败时自动清理
if _, err := f.Write(data); err != nil {
return err
}
if err := f.Sync(); err != nil { // 关键:确保内容落盘
return err
}
if err := f.Close(); err != nil {
return err
}
return os.Rename(tmpPath, targetPath) // 原子替换
使用 fsync 而不是仅 fclose
Go 的 *os.File.Close() 不保证数据已写入磁盘,它只释放句柄,内核可能仍缓存着脏页。尤其在 NFS 或某些 SSD 上,掉电后极易丢数据。
- 必须显式调用
file.Sync()(对应 POSIXfsync()),强制将内核缓冲区刷入持久存储 -
file.Sync()成功返回,才代表数据真正落盘(不保证后续不被硬件损坏,但至少过了 OS 缓存层) - 不要依赖
defer file.Close()来“兜底”,它不等价于Sync()
避免使用 ioutil.WriteFile(已弃用)和 os.WriteFile(无 Sync)
ioutil.WriteFile 已被标记为 deprecated;os.WriteFile 内部使用 os.Create + Write + Close,但**没有调用 Sync()**,无法满足安全写入要求。
- 若用
os.WriteFile,相当于裸写,和直接echo > file一样脆弱 - 替代方案:要么手写带
Sync()的临时文件流程(如上),要么用封装好的库如github.com/fsnotify/fsnotify不适用,应选github.com/kevin-cantwell/safe-file等专注安全写的轻量包 - 注意:
os.WriteFile的文档明确写着 “It writes the contents ofdatato a file named byfilename”, 没提持久性保证
处理并发写入与信号中断
多个 goroutine 同时写同一文件,或程序收到 SIGINT/SIGTERM 时正在写,都可能导致中间态残留或数据错乱。
- 用
sync.Mutex或sync.RWMutex控制写入口,避免多协程竞争临时文件名或覆盖逻辑 - 注册
os.Interrupt信号 handler,在退出前等待当前写操作完成(需配合context.WithTimeout防卡死) - 临时文件名建议加入 PID 和纳秒时间戳,如
fmt.Sprintf("conf.%d.%d.tmp", os.Getpid(), time.Now().UnixNano()),防止不同进程冲突
Sync(),或者跨分区用了 Rename(),就等于没做。 
