@
holyghost 我不是特指的贵司的系统,有些会在发布以后在 webserver 层面做处理,然而大部分的情况是,能用就行,完全不怎么管,我个人感觉你对贵司的系统很自信啊,天下没有攻无不克的矛,也没有战无不胜的盾,安全很多时候都是死在蜜汁自信上(大部分 ZF 里面就是,我们是纯内网,他们怎么可能进来,结果 WannaCry 出来以后是真的哭了)。
@
clino 生产环境本来就是在公网上的,谁都能访问,对于生产环境可以在 webserver 上做目录限制,或者在重写规则里写上限制,如果你不作处理那真的谁都能访问到的。
@
Clarencep 如果能放在.env 里最好不过了,不过有时候一不注意就 git add ./ 或是某个人没这个意识,一直在 add ./ 然后 commit 上去,从此在仓库里留下浓重的一笔,这些信息一般情况下很少会去改吧。进程环境变量在代码里也总要有个初始化的地方,这个地方和传统的 db.config.php(DBHOST,DBUSER,DBPASS,DBNAME)这种没区别,正儿八经的解决是在客户端这里的. gitignore 里设置忽略,在 webserver 上设置权限。安全是个木桶效应问题,所以每一个点都是要顾忌到的