PHP中密钥不可硬编码,应使用环境变量;开发用vlucas/phpdotenv加载.env文件,生产必须用系统级环境变量(如PHP-FPM配置或Docker environment),并统一用getenv()读取且校验非空。
PHP 项目里把密钥(如 API_KEY、DB_PASSWORD)硬编码在代码里是高危操作,必须移出源码。环境变量是最常用且被主流部署平台(Docker、Laravel Forge、Laravel Vapor、Cloudflare Pages 等)原生支持的方案,但直接用 $_ENV 或 getenv() 读取前,得先确保它被正确加载和暴露。
为什么 $_ENV 为空或 getenv('SECRET') 返回 false
PHP 默认不会自动填充 $_ENV 数组,除非 variables_order 配置包含 E(且未被禁用)。更关键的是:Web 服务器(如 Apache、Nginx + PHP-FPM)默认不向 PHP 进程传递系统级环境变量——尤其是通过 export KEY=xxx 设置的那些。
- CLI 模式下
getenv()通常可用,但 Web 请求中大概率失效 -
putenv()只对当前请求有效,不能跨请求持久化,也不推荐用于密钥注入 - Apache 的
SetEnv指令只对 CGI 模式生效,在 mod_php 或 PHP-FPM 下无效
用 .env 文件 + vlucas/phpdotenv 是最稳妥的开发/测试方案
它不依赖 Web 服务器配置,纯 PHP 实现,适合本地、CI 和轻量部署。注意:生产环境仍建议用真实环境变量,.env 仅作补充或过渡。
- 安装:
composer require vlucas/phpdotenv - 在入口文件(如
index.php或public/index.php)顶部立即加载:
require_once __DIR__.'/vendor/autoload.php'; $dotenv = Dotenv\Dotenv::createImmutable(__DIR__); $dotenv->load();
-
.env文件需放在项目根目录(__DIR__指向该目录),内容形如:DB_PASSWORD=super-secret-123 - 加载后即可用
$_ENV['DB_PASSWORD']或getenv('DB_PASSWORD') - 务必把
.env加入.gitignore,禁止提交到仓库
生产环境必须用系统级环境变量(Nginx / PHP-FPM / Docker)
这是唯一能避免文件读取、权限泄露风险的方式,也是 Laravel、Symfony 等框架默认推荐的生产实践。
立即学习“PHP免费学习笔记(深入)”;
-
Nginx + PHP-FPM:在
php-fpm.conf或站点 pool 配置中加:env[API_KEY] = "xxxx" -
Docker:用
environment:或env_file:(后者仍需确保.env不进镜像) - Laravel Forge / Envoyer:后台有专门的「Environment Variables」字段,填入后自动注入到 PHP-FPM
- 验证是否生效:
var_dump(getenv('API_KEY'));或print_r($_SERVER['API_KEY'] ?? 'not set');($_SERVER总是包含环境变量副本)
getenv() vs $_ENV vs $_SERVER 读取行为差异
三者来源相同,但 PHP 内部填充时机和开关不同,混用容易踩空。
-
getenv('KEY'):最可靠,无论variables_order如何都可读取,返回false表示未设置(注意不是null) -
$_ENV['KEY']:仅当variables_order = "EGPCS"(含E)且未被php.ini中auto_globals_jit = On延迟加载时才可用;PHP 8.1+ 默认开启 JIT,$_ENV更容易为空 -
$_SERVER['KEY']:始终可用,因为环境变量会自动映射进$_SERVER,但语义上它本不属于「服务器信息」,部分静态分析工具会警告 - 统一建议:只用
getenv(),并配合空值判断:$key = getenv('API_KEY') ?: throw new RuntimeException('Missing API_KEY');
真正麻烦的不是“怎么写”,而是确保变量从操作系统 → Web 服务器 → PHP 进程 → 应用代码这条链路每一环都没被截断或覆盖;本地能跑不代表上线就安全,每次部署后必须手动验证 getenv() 返回值。
