最近在做一个新的 Web 项目，需要存储一些敏感信息，比如数据库密码、第三方 API 的密钥等等。按照最佳实践，我将这些信息放到了 .env 文件中，避免直接写在代码里。但是，.env 文件默认是明文存储的，一旦被泄露，后果不堪设想。

我开始寻找一种方法来加密 .env 文件，经过一番调研，我发现了 staabm/secure_dotenv 这个 composer 包。它使用 defuse/php-encryption 库进行加密，操作简单，而且能够透明地读取加密后的 .env 文件，非常符合我的需求。

Composer在线学习地址：学习地址

安装和配置

首先，使用 Composer 安装 staabm/secure_dotenv：

composer require staabm/secure_dotenv

然后，需要生成一个加密密钥。这个密钥用于加密和解密 .env 文件中的信息。使用以下命令生成密钥：

php vendor/bin/generate-defuse-key

这条命令会生成一个随机字符串，你需要将这个字符串保存到一个文件中，例如 keyfile。

注意： 按照安全最佳实践，这个密钥文件应该放在 Web 服务器无法直接访问的目录中，但 Web 服务器用户（或执行用户）必须具有读取权限。

使用方法

安装和配置完成后，就可以使用 staabm/secure_dotenv 来读取加密的 .env 文件了。以下是一个简单的例子：

getContent());
?>

你也可以直接使用密钥字符串，而不是从文件中读取：

动态设置值

除了读取，还可以使用 save() 方法动态设置 .env 文件中的值：

save($keyName, $keyValue)) {
    echo 'Save successful';
} else {
    echo 'There was an error while saving the value.';
}

save() 方法会自动加密值并将其写入 .env 文件。

CLI 工具

staabm/secure_dotenv 还提供了一个命令行工具，用于加密值并自动写入 .env 文件：

vendor/bin/encrypt-env --keyfile=/path/to/keyfile

这个工具会提示你输入 .env 文件路径、密钥和值。

优势和应用效果

使用 staabm/secure_dotenv 的优势非常明显：

• 增强安全性： 加密 .env 文件，防止敏感信息泄露。
• 易于使用： 安装和配置简单，API 简洁明了。
• 透明读取： 可以像读取普通 .env 文件一样读取加密后的 .env 文件。
• 动态设置： 可以动态设置和更新 .env 文件中的值。

通过使用 staabm/secure_dotenv，我的项目安全性得到了显著提升。即使 .env 文件被意外泄露，攻击者也无法直接获取其中的敏感信息。这大大降低了项目被攻击的风险。

总而言之，staabm/secure_dotenv 是一个非常实用的 Composer 包，它可以帮助你轻松加密 .env 文件，保护你的项目安全。如果你正在寻找一种简单有效的方式来加密 .env 文件，那么 staabm/secure_dotenv 绝对值得尝试。