CodeIgniter用户行为追踪方法详解

本文深入解析了在CodeIgniter框架中构建可靠用户行为审计系统的完整实践路径，强调必须摒弃默认日志和简单钩子调用的误区，转而通过精准组合Session身份标识、Input可信输入（如穿透代理的真实IP）、post_controller钩子时机捕获完整操作上下文，并建立结构化数据库审计表——涵盖用户ID、URI、HTTP方法、IP及时间戳等关键字段，确保日志可查询、可关联、可统计、可复盘，真正支撑安全审计与行为分析需求。

CodeIgniter 默认不记录用户活动，必须手动组合 Session、Input 和钩子（Hooks）才能拿到「谁、在什么时间、从哪来、干了什么」这四个关键维度——只改 $config['log_threshold'] 或调用 log_message() 是无效的。

怎么用 Session + Input 拿到真实用户上下文

单纯记录「访问了 /admin/delete」没意义，必须绑定身份和来源。但 Session 和 Input 的取值时机、可靠性有明显差异：

• $this->session->userdata('user_id') 是最可信的身份标识，但前提是登录逻辑已正确写入 session（比如用了 $this->session->set_userdata(['user_id' => 123])）
• $this->input->ip_address() 比 $_SERVER['REMOTE_ADDR'] 更可靠，能穿透常见代理；但若前端用了 Cloudflare，需额外配置 $config['proxy_ips']
• $this->input->server('HTTP_REFERER') 可能为空或被伪造，仅适合辅助分析跳转路径，不能用于安全判断
• 别用 $this->input->user_agent() 做权限控制——它完全由客户端发送，可任意篡改

为什么 post_controller 钩子是唯一靠谱的埋点时机

想在控制器执行完后统一捕获行为，post_controller 是唯一满足全部条件的钩子点：

• post_system 太早：Session 类可能还没加载，$this->session 会报错
• post_controller_constructor 太早：控制器方法还没执行，拿不到实际业务动作（比如是否真删了数据）
• post_controller 刚好：路由、session、input、db 全部就绪，$this->router->class 和 $this->router->method 已确定，$this->db->queries 仍可读（注意事务未提交时为空）
• 注册钩子前必须确认 $config['enable_hooks'] = TRUE 已在 application/config/config.php 中开启

log_message() 为什么不能当审计日志用

它输出的是无结构纯文本，查一条「删除订单」操作要靠 grep 硬扫，根本没法关联用户、筛选时间范围或做聚合统计：

• 日志内容像这样：user_login|id:456|ip:192.168.1.100，但字段没分隔符、没时间戳前缀、没固定顺序，解析成本高
• 默认按天切文件，几个月后单个 log-2026-05-01.php 超过 100MB，grep 一次要等 5 秒以上
• 没存 HTTP_METHOD（GET/POST）、没存完整 uri_string()，安全复盘时缺关键上下文
• 生产环境若设 $config['log_threshold'] = 1，log_message('info', ...) 根本不写入——你白写了

真正可查、可关联的审计表该怎么建

别往 application/logs/ 里硬塞，必须建专用数据库表，字段设计直接决定后期能不能查得动：

• admin_id：INT，允许 NULL（比如登录失败场景），必须加索引
• uri：VARCHAR(255)，存 $this->uri->uri_string()，不是 $_SERVER['REQUEST_URI']（后者带 query string，冗余且难过滤）
• http_method：ENUM('GET','POST','PUT','DELETE')，方便统计高危操作比例
• ip_address：VARCHAR(45)，兼容 IPv6，别用 INT 存 IPv4
• created_at：DATETIME，默认 CURRENT_TIMESTAMP，别依赖 PHP date()，避免时区错乱

复杂点在于事务一致性：如果审计日志写库失败，主业务是否该回滚？多数场景下不应阻塞主流程，建议用异步队列或至少加 try/catch + fallback 到文件日志，否则一个数据库抖动会让整个后台不可用。

今天关于《CodeIgniter用户行为追踪方法详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于CodeIgniter的内容请关注golang学习网公众号！