在 PHP 网站应用程序中设置环境变量的“正确”方法？

Posted 2023-02-25

【中文标题】在 PHP 网站应用程序中设置环境变量的“正确”方法？

【英文标题】："Proper" way to set environment variables in PHP websites applications?

【发布时间】：2012-11-15 14:52:46

【问题描述】：

我已经看到很多关于将硬编码的敏感信息（API 密钥字符串、数据库密码）作为安全环境变量保存的文章。我对这个概念有点陌生，虽然我已经看到了很多关于 rails 的内容，但在 php 方面并没有那么多。

即使PHP FOG 在为用户创建初始 mysql 数据库信息时也使用这种类型的设置。

我真的不明白这是 set 的位置以及如何使用任何特定的 php 网页/应用程序检索它。我真的是从诸如保持我的交易电子邮件 API 密钥和其他信息安全且可跨多个页面使用的角度来看待这一点。

例如，如果我只是创建一个 config.php 文件并将其放在我的站点根目录中，这与直接在我的代码中调用密钥有什么不同吗？应该在哪里设置环境变量以及调用它们的最有效方法是什么？我也很好奇这与 SESSION 变量有何不同？

注意：我正在运行一个与 nginx 配对的 LAMP 堆栈。

更新 1： One of these users 倾向于反对使用环境变量，只在“非公共”文件中使用，但我真的不明白这有什么不同。

更新 2： 还发现了这篇文章，从 Windows 的角度来看，这似乎有一些普遍意义（假设 *nix 需要更改 php 包含路径？）。再说一遍，这样做有什么好处，而不是直接将 API 密钥硬编码到 PHP 脚本中？

【参考方案1】：

我想说这更像是一种系统集成，而不是具体的安全性。

环境变量可用于创建脚本运行的上下文。脚本本身将这些作为（隐藏的）依赖项。

因此您可以在不同的环境（环境设置）中执行相同的脚本，而无需更改任何代码行（包括但不限于）基于php的配置文件。

例如，当您自动部署脚本时，部署系统通常能够设置环境变量，因为原理是通用的。您无需修改​​部署脚本，以便他们知道您的特定配置文件，以便他们可以更改它们。

从安全的角度来看，差别不大。环境变量可以公开访问，也可以访问脚本中的全局变量。

【讨论】：

好吧 - 除了安全问题 - 推荐的设置方式是什么？在 webroot 内/在根目录外？如果是其中之一，我不明白为什么它最终很重要。

环境变量在系统的进程空间中。这意味着，它们要么已设置，要么未设置。设置它们的位置完全取决于您，例如，您可以通过.htaccess 文件或服务器配置有条件地使用 cookie 或请求标头在开发环境设置中运行脚本。