PHP敏感信息保护机制_PHP隐藏配置与关键数据技巧

应将配置文件移出Web根目录、用环境变量替代硬编码、禁用敏感函数与错误回显、关键数据运行时加密。四类措施协同保障PHP应用安全，任一环节缺失都可能导致防护失效。

把配置文件移出 Web 根目录

Web 服务器（如 Apache、Nginx）默认只禁止访问 .htaccess 或 .php 文件，但不会自动阻止用户直接请求 config.php。如果它放在 /var/www/html/config.php 这类可被 URL 访问的路径下，一旦 PHP 解析失败或服务器配置异常，源码可能裸露。

正确做法是将配置文件放到 Web 根目录之外，比如：

• /var/www/config/database.php（根目录为 /var/www/html/）
• 在入口脚本中用 绝对路径 引入：require '/var/www/config/database.php';

这样即使 URL 拼出 https://site.com/config/database.php，服务器也返回 404，根本无法触发文件读取。

用环境变量替代硬编码配置

数据库密码、API 密钥这类敏感值，不写进 PHP 文件，而是通过系统环境变量注入。PHP 7.1+ 支持 getenv() 和 $_ENV，配合 Web 服务器设置更安全。

立即学习“PHP免费学习笔记（深入）”；

例如，在 Nginx 的 server 块中加：

标签： php word html git apache nginx 编码 access ssl mac 环境变量 配置文件