Terdapat tiga cara utama untuk menetapkan pembolehubah persekitaran dalam PHP: 1. Konfigurasi global melalui php.ini; 2. Melalui pelayan web (seperti setenv Apache atau fastcgi_param of nginx); 3. Gunakan fungsi Putenv () dalam skrip PHP. Antaranya, php.ini sesuai untuk konfigurasi global dan jarang mengubah konfigurasi, konfigurasi pelayan web sesuai untuk senario yang perlu diasingkan, dan putenv () sesuai untuk pembolehubah sementara. Dasar kegigihan termasuk fail konfigurasi (seperti php.ini atau konfigurasi pelayan web), fail .Env dimuatkan dengan perpustakaan dotenv, dan suntikan dinamik pembolehubah dalam proses CI/CD. Maklumat sensitif pengurusan keselamatan harus dielakkan dengan keras. Adalah disyorkan untuk menggunakan fail .env dengan .gitignore, rahsia docker, atau perkhidmatan awan seperti AWS Secrets Manager. Jika pemboleh ubah persekitaran tidak berkuatkuasa, anda harus menyemak mod operasi PHP, sahkan skop pembolehubah, sahkan laluan fail konfigurasi, dan sama ada untuk memulakan semula perkhidmatan tersebut.

Biasanya terdapat beberapa cara teras untuk menetapkan pembolehubah persekitaran dalam persekitaran PHP: Secara global menubuhkan fail konfigurasi php.ini , lulus menggunakan konfigurasi pelayan web (seperti Apache atau Nginx), atau gunakan fungsi putenv() secara langsung di dalam skrip PHP. Kaedah mana yang anda pilih sering bergantung pada mod operasi PHP anda, keperluan pengasingan persekitaran anda, dan kitaran hayat pembolehubah.

Penyelesaian

Sejujurnya, pembolehubah persekitaran PHP terdengar agak misteri, tetapi mereka sebenarnya agak mudah digunakan. Saya secara peribadi berfikir bahawa cara yang paling biasa dan paling selamat adalah tidak lebih dari sekadar sedikit, masing -masing dengan senario yang terpakai, dan tidak satu pun dari mereka adalah "penyelesaian sejagat".

Pertama sekali, perkara yang paling langsung ialah menukar php.ini . Anda boleh secara langsung menggunakan variables_order atau E dalam fail untuk mengawal pembolehubah mana yang boleh diakses oleh PHP. Walau bagaimanapun, konfigurasi yang lebih biasa digunakan adalah konfigurasi seperti upload_max_filesize . Mereka adalah item konfigurasi PHP dan tidak sama dengan pembolehubah persekitaran di peringkat sistem operasi. Tetapi jika anda mahukan pembolehubah persekitaran tertentu berkuat kuasa di seluruh dunia, seperti maklumat sambungan pangkalan data, atau kunci API, ia adalah cara untuk menggunakan env[VAR_NAME] = value dalam php.ini . Tetapi ada masalah dengan ini, iaitu, jika anda menukar php.ini , anda perlu memulakan semula PHP-FPM atau pelayan web, dan ini akan menjejaskan semua aplikasi yang berjalan dalam persekitaran PHP ini dan tidak cukup fleksibel.

Kemudian ia melalui pelayan web. Jika anda menggunakan Apache, Arahan SetEnv berada dalam fail .htaccess atau fail konfigurasi Apache, ia hanya alat sihir. Contohnya:

 <Ifmodule mod_env.c>
    Setenv app_env "Pengeluaran"
    Setenv database_url "mysql: // user: pass@host/db"
</Ifmodule>

Perkara ini baik, ia boleh menjadi berkesan untuk direktori tertentu atau tuan rumah maya, dan pengasingan dilakukan dengan baik. Untuk nginx, anda perlu menggunakan fastcgi_param , biasanya dalam fail fastcgi_params atau blok pelayan anda:

 fastcgi_param app_env "pembangunan";
fastcgi_param database_url "mysql: // user: pass@localhost/dev_db";

Kedua -dua kaedah dianggap menyuntik pembolehubah persekitaran dari lapisan pelayan web ke dalam proses PHP. Skrip PHP boleh didapati melalui $_SERVER atau getenv() . Saya secara peribadi lebih suka kaedah ini kerana ia memisahkan konfigurasi dan kod, dan ia juga memudahkan suntikan konfigurasi persekitaran yang berbeza ke dalam proses CI/CD.

Akhirnya, tentu saja, putenv() di dalam skrip PHP. Fungsi ini membolehkan anda menetapkan pemboleh ubah persekitaran pada masa runtime.

 <? Php
PUTENV ("my_custom_var = hello_world");
echo getenv ("my_custom_var"); // output: hello_world
?>

Tetapi jujur, saya jarang menggunakannya untuk menetapkan pembolehubah persekitaran kritikal yang perlu disediakan sepanjang kitaran hayat permintaan. Ia lebih digunakan dalam beberapa senario sementara yang hanya digunakan oleh skrip semasa atau proses kanak -kanak. Kerana pembolehubah yang ditetapkan hanya sah untuk proses PHP semasa, mereka telah hilang setelah permintaan selesai dan tidak dapat mempengaruhi proses induk.

Untuk meringkaskan, yang mana yang dipilih bergantung kepada keperluan anda. Global dan Invariant, php.ini atau konfigurasi pelayan web; Sekiranya perlu diasingkan, konfigurasi pelayan web lebih baik; Jika ia sementara, digunakan secara dalaman oleh skrip, putenv() .

Apakah strategi kegigihan untuk pembolehubah persekitaran PHP?

Apabila ia datang kepada kegigihan, ini bukan soalan yang mudah, kerana perkataan "berterusan" mempunyai tafsiran yang berbeza dalam konteks yang berbeza. Apa yang saya faham kegigihan adalah untuk membolehkan pembolehubah persekitaran mengekalkan nilai mereka di luar kitaran hayat proses PHP, atau sekurang -kurangnya secara automatik memuat setiap kali permintaan baru tiba.

Kegigihan yang paling langsung tentu saja menulis pembolehubah ke dalam fail konfigurasi. Sebagai contoh, php.ini yang disebutkan sekarang, atau fail konfigurasi pelayan web (Apache's httpd.conf atau nginx.conf nginx). Sebaik sahaja fail-fail ini ditubuhkan, pembolehubah ini akan sentiasa wujud selagi pelayan tidak dimulakan semula, atau proses PHP-FPM tidak dibunuh. Ini adalah kegigihan yang paling "tegar". Walau bagaimanapun, kelemahan juga jelas. Perubahan memerlukan memulakan semula perkhidmatan, dan mereka tidak cukup fleksibel untuk sesuai untuk penempatan pelbagai alam sekitar.

Satu lagi kaedah "ketekunan" yang biasa sebenarnya adalah manifestasi falsafah "konvensyen adalah lebih besar daripada konfigurasi", iaitu, fail .env . Walaupun PHP sendiri tidak mengiktiraf fail .env secara langsung, melalui perpustakaan seperti vlucas/phpdotenv , anda boleh memuatkan fail ini pada permulaan permohonan.

 // composer.json
// "memerlukan": {
// "vlucas/phpdotenv": "^5.0"
//}

// public/index.php atau fail bootstrap $ dotenv = dotenv \ dotenv :: createImmutable (__ dir__. '/../'); // menunjukkan ke direktori root projek anda $ dotenv-> load ();

// Selepas itu, anda boleh mengakses pembolehubah ini melalui getEnv () atau $ _env $ dbhost = getenv ('db_host');

Kelebihan kaedah ini adalah:

1. Pengasingan Alam Sekitar: Persekitaran yang berbeza (pembangunan, ujian, pengeluaran) boleh mempunyai fail .env yang berbeza, atau menggunakan pembolehubah persekitaran untuk menentukan yang .env .
2. Keselamatan: Fail .env biasanya tidak diserahkan kepada Sistem Kawalan Versi (GIT), dengan itu mengelakkan kebocoran maklumat sensitif.
3. Fleksibiliti: Hanya gantikan fail .env semasa penempatan boleh menukar konfigurasi tanpa mengubah kod atau memulakan semula perkhidmatan (untuk mod PHP-FPM).

Secara peribadi, saya tidak boleh lakukan tanpa .env dalam projek, terutamanya rangka kerja PHP moden (seperti Laravel dan Symfony). Ia menghilangkan konfigurasi aplikasi dan kod dengan baik dan mematuhi prinsip konfigurasi aplikasi dua belas faktor.

Terdapat satu lagi jenis, walaupun tidak sepenuhnya "berterusan", tetapi sangat penting untuk proses penempatan, iaitu suntikan pembolehubah persekitaran dalam sistem CI/CD. Sebagai contoh, dalam tindakan GitHub, Gitlab CI atau Jenkins, anda boleh menyuntik maklumat sensitif sebagai pembolehubah persekitaran ke dalam bekas atau sasaran penempatan semasa peringkat binaan atau penempatan. Pembolehubah ini disuntik semasa runtime dan tidak disimpan di perpustakaan kod, yang sangat selamat.

Oleh itu, pilihan strategi kegigihan akhirnya bergantung kepada keperluan keselamatan anda, proses penempatan, dan tabiat kerjasama pasukan. Tidak ada peluru perak, hanya penyelesaian yang paling sesuai dengan anda.

Dalam pembangunan PHP, bagaimana untuk menguruskan maklumat konfigurasi sensitif dengan selamat dan berkesan?

Menguruskan maklumat konfigurasi sensitif adalah lubang besar dalam sebarang pembangunan, dan PHP tidak terkecuali. Saya telah melihat terlalu banyak projek yang secara langsung menulis kata laluan pangkalan data dan kekunci API dalam kod, yang hanya mimpi buruk keselamatan. Untuk menguruskan perkara -perkara ini dengan selamat dan berkesan, pengalaman saya adalah bahawa prinsip teras adalah "tidak mendedahkan maklumat sensitif terus ke pangkalan kod."

Perkara yang paling asas, seperti yang saya sebutkan tadi, adalah menggunakan fail .env untuk bekerjasama dengan .gitignore . Ini adalah amalan yang paling mudah dan paling biasa. Logik pemuatan config.php atau rangka kerja anda akan membaca pembolehubah ini dan bukannya kod keras nilai secara langsung.

 # .env fail fail app_key = somerandomstringgeneratedbyframework
Db_connection = mysql
Db_host = 127.0.0.1
Db_port = 3306
Db_database = my_app
Db_username = root
Db_password = rahsia

Kemudian, ingatlah untuk menambah .env ke .gitignore :

 # .gitignore
.env

Dengan cara ini, maklumat sensitif anda tidak akan ditolak ke repositori awam bersama -sama dengan kod tersebut. Sudah tentu, ini memerlukan anda untuk membuat atau menyalin fail .env secara manual apabila digunakan, atau melakukannya melalui skrip automatik.

Melangkah lebih jauh, untuk senario yang lebih maju, terutamanya penyebaran kontena (seperti Docker), saya sangat mengesyorkan menggunakan pengurusan rahsia . Swarm Docker mempunyai mekanisme pengurusan rahsia sendiri, dan Kubernetes juga mempunyai objek rahsia. Mekanisme ini membolehkan anda menyimpan dan mengedarkan data sensitif dengan cara yang disulitkan dan terdedah kepada aplikasi hanya apabila bekas sedang berjalan. Sebagai contoh, dalam Docker menyusun, anda boleh menentukan rahsia:

 # docker-compose.yml
Versi: '3.8'
Perkhidmatan:
  App:
    Imej: my_php_app
    Rahsia:
      - db_password

Rahsia:
  db_password:
    Fail: ./db_password.txt # Ini adalah fail yang mengandungi kata laluan dan biasanya tidak diserahkan kepada git

Di dalam aplikasi PHP, rahsia ini dipasang sebagai laluan khusus ke bekas sebagai fail, dan aplikasi anda boleh membaca fail ini untuk mendapatkan maklumat sensitif. Pendekatan ini lebih selamat daripada fail .env , kerana data sensitif tidak akan muncul dalam plaintext dalam sistem fail (sekurang -kurangnya di peringkat tuan rumah).

Untuk perkhidmatan awan, seperti AWS, GCP, dan Azure, mereka semua mempunyai perkhidmatan pengurusan utama mereka sendiri (KMS). AWS mempunyai pengurus rahsia, dan GCP mempunyai pengurus rahsia. Perkhidmatan ini dapat membantu anda mengurus, mengaudit dan memutar kekunci. Aplikasi PHP anda boleh mendapatkan kunci ini secara dinamik semasa runtime melalui SDK dan bukannya dikodkan keras atau disimpan dalam mana-mana fail. Ini sudah pasti tahap amalan keselamatan tertinggi, terutamanya sesuai untuk sistem yang diedarkan secara besar-besaran dan pelbagai perkhidmatan.

Akhirnya, saya ingin menekankan satu perkara: tidak pernah mempercayai pelanggan. Apa -apa maklumat sensitif yang perlu diluluskan ke bahagian depan hendaklah proksi atau diproses melalui API backend, dan bukannya secara langsung terdedah. Sebagai contoh, anda tidak boleh menggunakan kekunci API Stripe secara langsung di hujung depan, tetapi anda harus membiarkan pelayan backend memanggil API Stripe, dan hujung depan hanya berinteraksi dengan API Backend anda.

Secara umum, dari Simple .env ke KM Cloud Kompleks, yang penyelesaian untuk dipilih bergantung pada saiz projek anda, keperluan keselamatan dan keupayaan operasi dan penyelenggaraan. Tetapi dalam apa jua keadaan, menarik balik maklumat sensitif dari pangkalan kod adalah langkah pertama dan paling kritikal.

Pembolehubah persekitaran PHP tidak berkesan? Soalan yang sering ditanya dan tip debugging

Ia agak menjengkelkan untuk menghadapi pembolehubah persekitaran PHP yang tidak berkuatkuasa, tetapi biasanya terdapat jejak untuk diikuti. Pengalaman peribadi saya adalah bahawa masalah semacam ini sering tidak menjadi masalah dengan PHP sendiri, tetapi sisihan dalam konfigurasi atau pemahaman persekitaran.

1. Semak Mod Running PHP: Ini adalah yang paling mudah untuk diabaikan. Dalam mod apakah PHP anda berjalan? Adakah mod_php Apache? Atau adakah php-fpm digabungkan dengan nginx/apache? Atau mod CLI?

   • mod_php (tidak disyorkan): Pembolehubah persekitaran biasanya diluluskan secara langsung oleh konfigurasi Apache ( SetEnv ).
   • PHP-FPM: Pembolehubah persekitaran biasanya diluluskan oleh fastcgi_param dalam nginx/apache, atau ditetapkan dalam konfigurasi kolam php-fpm ( www.conf , dll.). Jika anda menetapkan fastcgi_param dalam nginx tetapi jangan mendapatkannya dalam php, periksa sama ada konfigurasi nginx dimuatkan dengan betul dan sama ada php-fpm dimulakan semula dengan betul.
   • Mod CLI: Pada masa ini, proses PHP secara langsung mewarisi pembolehubah persekitaran shell. Anda boleh menetapkannya dengan export VAR=value di terminal, dan kemudian php your_script.php . Tetapi jika anda menjalankan skrip di crontab , ingatlah bahawa pembolehubah persekitaran crontab adalah bebas dan mungkin perlu ditetapkan secara eksplisit dalam entri crontab .

2. Sahkan sumber dan skop pembolehubah persekitaran: Di manakah anda menetapkan pembolehubah persekitaran?

   • php.ini : Pastikan anda mengubah suai fail php.ini yang digunakan oleh versi PHP semasa. Anda boleh melihat Loaded Configuration File melalui phpinfo() . Selepas pengubahsuaian, pastikan untuk memulakan semula PHP-FPM atau pelayan web .
   • Konfigurasi Pelayan Web:

Atas ialah kandungan terperinci Cara Menetapkan Pembolehubah Alam Sekitar dalam Persekitaran PHP Penerangan Menambah Pembolehubah Alam Sekitar PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!