数据库连接密钥应优先存储在环境变量中,通过getenv()或$_ENV读取;若必须用配置文件,须置于Web根目录外、加退出声明并禁用Web服务器解析;.env文件需严格限制访问且不可提交至代码仓库。
数据库连接密钥不能硬编码在 PHP 文件里,尤其是 config.php 或 index.php 这类可能被 Web 服务器误配置导致源码泄露的文件中。
密钥该存在哪儿?优先用环境变量
PHP 7.1+ 推荐通过 getenv() 或 $_ENV 读取系统级环境变量,避免密钥出现在项目代码树中:
$host = getenv('DB_HOST') ?: 'localhost';
$user = $_ENV['DB_USER'] ?? 'root';
$pass = $_ENV['DB_PASS'] ?? '';
$db = $_ENV['DB_NAME'] ?? 'app';
- Linux/macOS 下启动 PHP-FPM 或 CLI 时,可通过
export DB_PASS="xxx"设置;Nginx + PHP-FPM 可在php-fpm.conf的env[DB_PASS] = xxx中透传 - Docker 环境直接用
environment:或.env(配合docker-compose --env-file) - Apache + mod_php 需在
VirtualHost中用SetEnv DB_PASS xxx,且确保AllowOverride None防止 .htaccess 覆盖
万一必须写配置文件,怎么防泄露?
如果因历史原因必须用 PHP 配置文件,至少做到三点:
- 把配置文件放在 Web 根目录之外,比如
/var/www/config/db.php放在/var/www/同级的/var/app-config/ - 配置文件本身以
.php结尾,并以开头,防止被直接访问时输出明文 - 禁止 Web 服务器解析非入口文件的 PHP:Nginx 中删掉
location ~ \.php$对非index.php的匹配;Apache 确保AllowOverride None且无额外AddType
mysql_connect() 和 PDO 的密钥传递方式有区别吗?
没有本质区别,密钥只是字符串参数,但构造方式影响可维护性:
立即学习“PHP免费学习笔记(深入)”;
-
mysql_connect()已废弃(PHP 7.0+ 移除),别用;mysqli_connect($host, $user, $pass, $db)参数顺序固定,密钥混在调用里,难审计 -
PDO更推荐:new PDO("mysql:host=$host;dbname=$db", $user, $pass),便于统一封装、加日志、或替换为连接池代理 - 无论哪种,都不要拼接密码进 DSN 字符串(如
"host=localhost;password=xxx"),否则错误日志或调试输出可能泄露
为什么 .env 文件不是银弹?
用 vizual/vlucas/phpdotenv 加载 .env 是常见做法,但它本身不解决安全问题:
-
.env文件若放在 Web 可访问路径下(如/public/.env),会被直接下载——必须用 Web 服务器规则禁止访问(Nginx:location ~ /\.env { deny all; }) - 加载后密钥仍进入
$_ENV,若开启display_errors = On且触发未捕获异常,部分框架会把$_ENV打印到页面 - CI/CD 流水线中若用
git push提交含密钥的.env,等于把密码上传到远程仓库——应只存模板.env.example,密钥由部署平台注入
真正关键的不是“怎么写”,而是“谁能在什么环节看到它”——密钥一旦进入进程内存,PHP 就无法阻止它被 var_dump($_ENV) 或核心转储(core dump)意外暴露。生产环境务必关闭 display_errors,限制 procfs 访问,并定期轮换密钥。
