Something similar was asked today for a shell script. The answer is valid here as well: Make sure you store the file outside the web root, or (if that's not possible) protect it using a .htaccess dosyası.

Ben de unset() kullanımdan sonra hassas veriler içeren herhangi değişkenleri, yani (bir hata ayıklama mesajında ​​örneğin) bile bir tam değişken dökümü sonra bu senaryoya ortaya koyabilir ister.

Bu sürece dosya web üzerinden erişilebilir olmadığı gibi nispeten güvenli olması gerekir. Siteleri bir çok sunucuda webroot dışında hassas dosyaları yerleştirebilirsiniz ve app içine gerektiğinde sadece onları içerecek.

Ben her zaman benim geliştirme ekibi ve apache hizmet sadece dosyaya erişebilir şekilde hassas veriler içeren sertifika ve diğer dosyaların izinlerini ayarlayın. Eğer bir sürü insan varsayılan dosyasına izinlere sahip olabilecek bir üniversite gibi, büyük bir organizasyon tarafından paylaşılan bir sunucu kullanıyorsanız, bu önemlidir. Web sunucusu dosyaya erişebilir, böylece sık sık ben (o dosya için sahibi ne de grup izni de ne olduğundan, kalan tek şey "diğer" okuma vermek için) herkese verilen okuma izinleri gördüm.

Bunun yerine, ben sadece benim geliştirme ekibi içeren bir grup var sağlamak ve bu gruba dosya için okuma / yazma izinlerini ayarlamak. Sonra APACHE hizmet için bir okuma izni eklemek için ACL kullanabilirsiniz. Sen sahibi ve grup normalde ACL kullanarak dışında apache başka erişimini ayarlamak için herhangi bir seçenek bırakarak, bir geliştirici ve geliştirme ekibi grubuna ayarlanır beri ACL kullanmak zorunda.