php - "Proper"如何在PHP 网站应用程序中设置环境变量？

Question

我看到很多关于将硬编码敏感信息(API key 字符串、数据库密码)保存为安全环境变量的文章。我对这个概念有点陌生，虽然我已经看到了很多关于 Rails 的内容，但在 PHP 方面却不是很多。

甚至PHP FOG在为用户创建初始 mysql 数据库信息时使用这种类型的设置。

我真的不明白这是在哪里设置的，以及如何使用任何特定的 php 网页/应用程序检索它。我真的是从让我的交易电子邮件 API key 和其他信息在多个页面上安全和可用的角度来看待这个问题。

例如，如果我只是创建一个 config.php 文件并将其放在我的站点根目录中，这与直接在我的代码中调用 key 真的有什么不同吗？应该在哪里设置环境变量以及调用它们的最有效方法是什么？我也很好奇这与 SESSION 变量有何不同？

注意:我正在运行一个与 Nginx 配对的 LAMP 堆栈。

更新 1: One of these users倾向于反对使用环境变量，而只是在“非公开”文件中使用，但我真的不明白这有什么不同。

更新 2:也找到了这篇文章，从 Windows 的角度来看，它似乎具有一定的普遍意义(假设 *nix 需要更改 php 包含路径？)。不过，与将 API key 直接硬编码到 PHP 脚本相比，这样做有什么好处呢？

Answer 1

我想说这更像是一种系统集成，而不是与具体安全相关。

环境变量可用于创建脚本运行的上下文。然后脚本本身将这些作为(隐藏的)依赖项。

因此您可以在不同的环境(环境设置)中执行相同的脚本，而无需更改任何代码行(包括但不限于)基于 php 的配置文件。

例如当你自动部署你的脚本时，部署系统通常能够设置环境变量，因为原理是通用的。您无需修改​​部署脚本，他们就可以知道您的特定配置文件，以便他们可以更改这些文件。

从安全的角度来看，没有太大区别。环境变量可以公开访问，您也可以在脚本中访问全局变量。