tag
env
該標籤下有 3 篇文章
2026-06-07
「.env」是什麼 — 環境變數檔案外洩會發生什麼
.env 是把應用程式的機密值(資料庫認證、API key、加密金鑰)匯總在一起的設定檔案。由於鑰匙集中在一個檔案裡,一旦被公開,所有機密就會一次性外洩。應把應用程式本體放到 docroot 之外,不要提交到 git,外洩後要把全部鑰匙輪替掉。
2026-06-07
安全超入門:.env 和 API key 到底危險在哪、又該怎麼守
第一步。先理解 .env 和 API key 洩漏後會發生什麼(配出來的鑰匙→冒名頂替→被盜刷),再從今天起做好這 4 件事:『不公開、不提交、洩漏就全部更換、定期自查』。
2026-06-07
在虛擬主機上避免 .env 被公開的目錄配置與設定
核心是『把應用程式主體放在 docroot 之外,只公開 public/』。先用 .htaccess 止血,再做結構改造實現長期防護,最後自我檢查。本站的視角=這不是個人的疏忽,而是業界層面把『壞做法標準化』了。所以要靠機制而不是靠注意力來防禦。bootstrap-redirect 比 symlink 更牢靠。