laravel 通过 .env 文件管理多环境配置,需确保其被正确加载、不提交至版本库、使用全大写变量名、在 config 文件中用 env() 封装并设默认值,部署时运行 config:cache 并禁止 Web 访问。
在 Laravel 中,.env 文件是管理不同环境(开发、测试、生产)配置的核心方式。它让敏感信息(如数据库密码、API 密钥)不硬编码在代码中,也便于部署时快速切换配置。
确保 .env 文件被正确加载
Laravel 在启动时会自动通过 vizhun/vlucas/phpdotenv 加载项目根目录下的 .env 文件。只要文件存在且格式正确,变量就会注入到 $_ENV 和 getenv() 中,并可通过 env() 或 config() 辅助函数读取。
- 首次安装后运行
php artisan key:generate,它会自动生成app_KEY并写入.env - 确保
.env文件在.gitignore中——绝不提交到版本库 - 部署时需手动创建或通过 CI/CD 注入
.env,不能依赖本地副本
定义和读取环境变量的规范写法
变量名建议全大写、用下划线分隔,值两端不加引号(除非含空格或特殊字符)。Laravel 的 config/*.php 文件中应统一用 env('KEY', 'default') 获取,而非直接调用 $_ENV。
- ✅ 正确:
DB_HOST=localhost、MaiL_FROM_ADDRESS="admin@example.com" - ❌ 避免:
db_host=localhost(大小写不一致难维护)、APP_DEBUG=true(布尔值应为true/false字符串,Laravel 会自动转换) - 推荐在配置文件中做类型转换,例如:
'debug' => filter_var(env('APP_DEBUG', false), FILTER_VALIDATE_BOOLEAN)
避免常见陷阱
.env 只用于运行时配置,不是逻辑开关。不要在 .env 中放数组、jsON 或 PHP 代码;也不要在中间件或控制器里频繁调用 env() —— 它只在启动时解析一次,后续应通过 config() 访问缓存后的值。
- 不要在
config/app.php外直接写env('SOME_VAR'),应在对应 config 文件中封装并提供默认值 - 缓存配置:上线前务必运行
php artisan config:cache,此时env()不再生效,所有配置以缓存为准 - 修改
.env后,若已缓存配置,需重新执行config:cache才生效
多环境与安全加固建议
开发和生产环境应使用完全独立的 .env 文件。可借助 .env.example 作为模板,用 cp .env.example .env 初始化新环境,并在 README 中说明必填字段。
- 敏感值(如
APP_KEY、AWS_SECRET)必须随环境单独生成,禁止复用 - 生产环境建议禁用
APP_DEBUG=true,防止泄露堆栈信息 - Web 服务器(nginx/apache)需配置禁止访问
.env文件,例如 Nginx 中添加:location ~ /.env { deny all; }
基本上就这些。用好 .env 的关键是:隔离、默认值、缓存意识、权限控制。不复杂但容易忽略细节。