tag
env
该标签下有 3 篇文章
2026-06-07
「.env」是什么 — 环境变量文件泄露会发生什么
.env 是把应用的机密值(数据库认证、API key、加密密钥)汇总在一起的配置文件。由于钥匙集中在一个文件里,一旦被公开,所有机密就会一次性泄露。应把应用本体放到 docroot 之外,不要提交到 git,泄露后要把全部钥匙轮换掉。
2026-06-07
安全超入门:.env 和 API key 到底危险在哪、又该怎么守
第一步。先理解 .env 和 API key 泄露后会发生什么(配出来的钥匙→冒名顶替→被盗刷),再从今天起做好这 4 件事:『不公开、不提交、泄露就全部更换、定期自查』。
2026-06-07
在虚拟主机上避免 .env 被公开的目录布局与配置
核心是『把应用主体放在 docroot 之外,只公开 public/』。先用 .htaccess 止血,再做结构改造实现长期防护,最后自我检查。本站的视角=这不是个人的疏忽,而是行业层面把『坏做法标准化』了。所以要靠机制而不是靠注意力来防御。bootstrap-redirect 比 symlink 更牢靠。