应通过环境变量或 .env 文件动态注入敏感信息,禁止硬编码;使用 vlucas/phpdotenv 加载配置并忽略 .env;CI/CD 中通过 secrets 注入,避免日志泄露;生产环境需限制文件权限并定期轮换密钥。
不要把API密钥、数据库密码等敏感信息直接写在 composer.json 的脚本里,也不建议硬编码进 PHP 脚本或提交到 Git 仓库。安全的核心是:分离配置与代码、运行时注入、避免明文暴露。
使用环境变量动态注入
Composer 脚本支持读取环境变量,这是最常用且推荐的方式。在 composer.json 中用 ${ENV_VAR_NAME} 占位,运行时由系统或部署工具提供值。
- 脚本定义示例:
"scripts": { "deploy:api": "php deploy.php --key=${API_KEY}" } - 本地运行前设置:
export API_KEY="sk_live_abc123"; composer run deploy:api - CI/CD 中(如 GitHub Actions)通过 secrets 注入,不显示在日志中
借助 .env 文件配合库加载
如果脚本逻辑较重(比如调用外部 API),建议用专用 PHP 脚本 + vlucas/phpdotenv 加载配置,而不是全靠 Composer 解析变量。
标签: php js git json docker composer github 编码 工具 环境变量 配置文件 kuber
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~