敏感信息绝不可写入composer.json或代码中,应通过环境变量(.env文件或系统级注入)在运行时加载,Composer仅用于依赖管理,不具备密钥安全管理能力。
不要把 API keys、数据库密码等敏感信息直接写进 composer.json 或项目代码里——Composer 本身不提供加密或安全存储机制,它的设计目标是依赖管理,不是密钥管理。安全做法是把敏感配置完全排除在版本控制和 Composer 流程之外,靠环境隔离和运行时注入来保障。
用 .env 文件 + 环境变量加载器(如 vlucas/phpdotenv)
这是最常用也最轻量的方案:把敏感值存放在项目根目录外(或至少加入 .gitignore)的 .env 文件中,再用类库在运行时加载为 PHP 环境变量。
- 安装 dotenv:
composer require vlucas/phpdotenv - 创建
.env(不在 Git 中):API_KEY=sk_live_abc123DB_PASSWORD=secret_pass - 在入口文件(如
index.php或框架启动处)顶部加载:$dotenv = Dotenv\Dotenv::createImmutable(__DIR__);<br>$dotenv->load();
- 代码中用
$_ENV['API_KEY']或getenv('API_KEY')获取
利用 Composer 的 config.platform 做伪“安全”占位(仅限非敏感上下文)
config.platform 只影响依赖解析时的 PHP/扩展版本模拟,**不能存真实密钥**。有人误把它当配置区,这是危险误区。它不参与运行时,也不加密,且会被 composer install --no-dev 等命令忽略。仅适合声明“本项目需要 ext-curl >=7.0”,而非存储凭证。
生产环境强制使用系统级环境变量(推荐)
比 .env 更安全:敏感值由运维通过服务器环境(如 systemd service 文件、Docker -e、K8s Secret 挂载、云平台参数管理)注入,PHP 运行时直接读取 $_SERVER 或 getenv()。
- Docker 示例:
docker run -e API_KEY=prod_key myapp - Laravel/Nginx/FPM 场景:在
php-fpm.conf或www.conf中加env[API_KEY] = $API_KEY - 优势:密钥不落地到应用目录,不随代码部署,权限可控
禁止在 composer.json 的 scripts 或 extra 中硬编码密钥
哪怕加了注释“请替换”,只要提交到 Git,就等于泄露。Composer 脚本本质是 shell 命令,一旦含密钥,CI 日志、审计日志、开发者本地执行都可能暴露。
- 错误示例:
"scripts": {"deploy": "curl -H 'Authorization: Bearer abc123' https://api.example.com/deploy"} - 正确做法:脚本调用外部命令或环境变量,如
"deploy": "deploy.sh",而deploy.sh从$API_KEY读取 - CI 环境中,用平台提供的 secret 注入机制(GitHub Actions secrets、GitLab CI variables)传入
基本上就这些。核心就一条:Composer 不负责保密,你得让它根本碰不到密钥。
