最有效的方式是彻底将密钥移出代码,改用环境变量($_ENV/getenv)加载,禁止硬编码;配置文件须置于Web目录外并加访问控制;运行时派生密钥更安全;CI/CD和日志中须脱敏处理,严防二次泄露。
PHP 应用中硬编码密钥(如 API_KEY、DB_PASSWORD、JWT_SECRET)是泄露高发点,**最有效的方式不是“加密密钥”,而是彻底不让密钥出现在代码里**。
把密钥移出代码,用环境变量加载
硬编码在 .php 文件或配置数组里,等于把钥匙贴在门上。应改用 $_ENV 或 getenv() 读取系统级环境变量。
- 部署时在 Web 服务器(Nginx/Apache)或容器(Docker)中设置,例如 Docker 中用
-e JWT_SECRET=xxx - 本地开发可用
.env文件 +vlucas/phpdotenv加载,但必须确保.env不提交到 Git(加进.gitignore) - 不要用
putenv()在 PHP 脚本里动态设密钥——这仍属于代码内暴露 - 检查
phpinfo()页面是否显示敏感变量(某些配置下$_ENV会暴露),生产环境务必关闭expose_php = Off
Web 目录外存放配置文件
如果必须用文件存配置(比如遗留项目无法改环境变量),**绝对不能放在 public/、web/ 或 Apache 的 DocumentRoot 下**。
- 把配置文件放在与
public_html同级的目录,例如:/var/www/app/config/secrets.php,而 Web 入口在/var/www/app/public/index.php - 在
secrets.php开头加防止被直接访问 - 用
require_once __DIR__ . '/../config/secrets.php';加载,路径要写死,别拼接用户输入 - 确认 Web 服务器对非公开目录返回 403,而不是 200 + 源码(常见于 Nginx 未配
location ^~ /config/ { deny all; })
运行时生成密钥比静态存储更安全
对非长期凭证(如一次性签名密钥、临时 API token),优先考虑运行时派生,而非存储固定值。
立即学习“PHP免费学习笔记(深入)”;
- 用
hash_hmac('sha256', $data, $_SERVER['APP_KEY'] ?? getenv('APP_KEY')),其中APP_KEY是环境变量里的主密钥 - JWT 场景下,避免用短密码当
secret,改用random_bytes(32)生成二进制密钥并 base64 编码后存环境变量 - 数据库连接密码若由运维平台动态下发,可通过启动脚本写入内存文件(
/dev/shm/)再读取,重启即失效
CI/CD 和日志里的密钥隐身处理
很多泄露发生在自动化流程和错误日志里,光管代码没用。
- Git 提交前用
git-secrets扫描,禁止提交含password、_KEY、SECRET的行 - CI 脚本中用
echo "${API_TOKEN:0:4}***"打印脱敏值,别直接echo $API_TOKEN - PHP 错误日志开启前检查
log_errors = On且error_log文件权限为600,并确保display_errors = Off(防止密钥随错误堆栈输出到页面) - 用
error_reporting(E_ALL & ~E_NOTICE)降低无关警告量,减少密钥意外混入日志的概率
真正难防的不是技术方案,而是密钥在调试、备份、日志、截图、协作分享时的“二次泄露”——只要它曾以明文形式出现在开发者终端、Slack 消息或某次 var_dump($_ENV) 里,就已失控。
