实际上，最好的做法是将数据库凭据存储在环境变量中，因为:

These credentials are dependant to environment, it means that you won't have the same credentials in dev/prod. Storing them in the same file for all environment is a mistake. Credentials are not related to business logic which means login and password have nothing to do in your code. You can set environment variables without creating any business code class file, which means you will never make the mistake of adding the credential files to a commit in Git. Environments variables are superglobales : you can use them everywhere in your code without including any file.

如何使用它们?

使用$_ENV数组: 设置:$_ENV['MYVAR'] = $ MYVAR 获取:echo $_ENV["MYVAR"] 使用php函数: 设置与putenv函数- putenv("MYVAR=$ MYVAR "); 使用getenv函数获取- getenv('MYVAR'); 在vhosts文件和.htaccess中，但不建议这样做，因为它在另一个文件中，这样做并不能解决问题。

您可以轻松地删除包含所有环境变量的文件(如envars .php)并执行它(php envars .php)并删除它。这有点老派，但它仍然可以工作，而且服务器中没有任何带有凭据的文件，代码中也没有凭据。由于这有点费力，框架做得更好。

Symfony的例子(不只是PHP) 像Symfony这样的现代框架建议使用环境变量，并将它们存储在.env未提交的文件中或直接存储在命令行中，这意味着你可以这样做:

使用CLI: symfony var:set FOO=bar——env-level 用。env或。env。local: FOO="bar"

文档:

如果谈论的是数据库密码，而不是来自浏览器的密码，标准的做法似乎是将数据库密码放在服务器上的PHP配置文件中。

您只需要确保包含密码的php文件具有适当的权限即可。也就是说，它应该是可读的只有web服务器和您的用户帐户。

实际上，最好的做法是将数据库凭据存储在环境变量中，因为:

These credentials are dependant to environment, it means that you won't have the same credentials in dev/prod. Storing them in the same file for all environment is a mistake. Credentials are not related to business logic which means login and password have nothing to do in your code. You can set environment variables without creating any business code class file, which means you will never make the mistake of adding the credential files to a commit in Git. Environments variables are superglobales : you can use them everywhere in your code without including any file.

如何使用它们?

使用$_ENV数组: 设置:$_ENV['MYVAR'] = $ MYVAR 获取:echo $_ENV["MYVAR"] 使用php函数: 设置与putenv函数- putenv("MYVAR=$ MYVAR "); 使用getenv函数获取- getenv('MYVAR'); 在vhosts文件和.htaccess中，但不建议这样做，因为它在另一个文件中，这样做并不能解决问题。

您可以轻松地删除包含所有环境变量的文件(如envars .php)并执行它(php envars .php)并删除它。这有点老派，但它仍然可以工作，而且服务器中没有任何带有凭据的文件，代码中也没有凭据。由于这有点费力，框架做得更好。

Symfony的例子(不只是PHP) 像Symfony这样的现代框架建议使用环境变量，并将它们存储在.env未提交的文件中或直接存储在命令行中，这意味着你可以这样做:

使用CLI: symfony var:set FOO=bar——env-level 用。env或。env。local: FOO="bar"

文档:

将数据库密码放在一个文件中，使其对提供文件的用户只读。

除非您有某种方法只允许php服务器进程访问数据库，否则这几乎就是您所能做的全部工作。

如果你在别人的服务器上托管，在你的webroot之外没有访问权限，你可以把你的密码和/或数据库连接放在一个文件中，然后使用.htaccess锁定文件:

<files mypasswdfile>
order allow,deny
deny from all
</files>

只是把它放在配置文件的某个地方是通常完成的方式。只要确保你:

禁止从网络外的任何服务器访问数据库， 注意不要意外地向用户显示密码(在错误消息中，或通过PHP文件意外地作为HTML提供，等等)。