Personnellement, je stocke des informations sensibles telles que les détails de connexion à la base de données dans un fichier config.ini fichier en dehors de la racine de mon dossier Web. Puis dans mon index.php Je peux faire :
$config = parse_ini_file('../config.ini');
Cela signifie que les variables ne sont pas visibles si votre serveur commence accidentellement à produire des scripts PHP en texte brut (ce qui s'est déjà produit, tristement célèbre pour Facebook); et seuls les scripts PHP ont accès aux variables.
Il ne dépend pas non plus de .htaccess dans lequel il n'y a aucune éventualité si votre .htaccess le fichier est déplacé ou détruit.
Mise en garde, ajoutée le 14 février 2017 :Je vais maintenant stocker les paramètres de configuration comme celui-ci en tant que variables d'environnement. Je n'ai pas utilisé le .ini approche de fichier depuis un certain temps maintenant.
