私的良スレ書庫
不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitterでログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。
元スレ【PHP】Laravel【フレームワーク】 Part.4
php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニューみんなの評価 :
レスフィルター : (試験中)
前へ
.envをコミットしてるバカってもしかしてデータベースのパスワードとか.htpasswdとかもコミットしてそう
とりあえずコミットしない方がいいということはわかった
いつまでも煽ってくる暇人が多いこともわかった
.envが発明される前は、CakeのConfig/database.phpみたいに普通にコミットされるのが当たり前だったな
せめてパスワード直書きを避ける工夫はいくつかあったけど
いつまでも煽ってくる暇人が多いこともわかった
.envが発明される前は、CakeのConfig/database.phpみたいに普通にコミットされるのが当たり前だったな
せめてパスワード直書きを避ける工夫はいくつかあったけど
>>206
.envをリモートリポジトリで管理しないってのは、.envがもともとの発想としてお手軽に「環境を定義する」ためのものなのセキュリティ的な観点とは関係ない。「ローカル」や「テスト」「ステージング」「本番」で定義内容が異なるケースが多いので、各環境ごとに作って共有しないってのが最近の使い方。
セキュリティ観点では、気密性の高い資格情報は、コードではなくて展開される環境に保存されるべきなので、そのへんが分かってないやつが騒いでるだけ
.envをリモートリポジトリで管理しないってのは、.envがもともとの発想としてお手軽に「環境を定義する」ためのものなのセキュリティ的な観点とは関係ない。「ローカル」や「テスト」「ステージング」「本番」で定義内容が異なるケースが多いので、各環境ごとに作って共有しないってのが最近の使い方。
セキュリティ観点では、気密性の高い資格情報は、コードではなくて展開される環境に保存されるべきなので、そのへんが分かってないやつが騒いでるだけ
問題があると決め付けるのもまた、思考停止していると思うが
1人で試作品を作ってる場合なんかはあまり厳密にやる必要ないだろ
デフォルトで.gitignoreされてるからコミットする人は少ないだろうが、全ての人がGit使ってるわけではない
1人で試作品を作ってる場合なんかはあまり厳密にやる必要ないだろ
デフォルトで.gitignoreされてるからコミットする人は少ないだろうが、全ての人がGit使ってるわけではない
環境によって異なる設定ファイルをコミットから除外ってのは、大昔からみんなやってきてることだと思う
.envはそのために作られたものだからそれをコミットすると聞くと違和感があるのはわかる
.envはそのために作られたものだからそれをコミットすると聞くと違和感があるのはわかる
symfonyは.envがgitの管理対象に含まれているが
あれってセキュリティ上まずいような気がするけど管理対象に含めなければならない何かあるのか?
laravelは.envコミットしたらまずいから.gitignoreされているんだよね?
あれってセキュリティ上まずいような気がするけど管理対象に含めなければならない何かあるのか?
laravelは.envコミットしたらまずいから.gitignoreされているんだよね?
明日で次期LTSのアンケート締め切りか
最終結果どんな機能順位になるんだろ?
最終結果どんな機能順位になるんだろ?
このスレ定期的に数レス前も読まない奴が現れるけどなんなんだw
エラーログちゃんと読んでるのか?w
エラーログちゃんと読んでるのか?w
>>213
読むわけないだろ
読むわけないだろ
零細勤め、個人事業主、日曜エンジニア「「.envをコミットしても問題ない環境なんて山ほどある」」
俺の関わった案件だと.envはコミットしてたな。
ただし.envに記載されている内容は社内からしかアクセスできない
テスト環境の情報だったけど
さすがに本番環境の.envコミットはなかった
ただし.envに記載されている内容は社内からしかアクセスできない
テスト環境の情報だったけど
さすがに本番環境の.envコミットはなかった
ノイジーマジョリティでは?このスレに大企業の奴なんていないだろ
基本PHPのオープンソースFWなんて小規模で使うもんだし
基本PHPのオープンソースFWなんて小規模で使うもんだし
オレは環境ごとに.env作ってるけど、別に.envコミットしても構わんだろ
機密情報とサーバ個別情報を環境変数で上書きしてしまえば実害ないはず
機密情報とサーバ個別情報を環境変数で上書きしてしまえば実害ないはず
つまりスレの総意としては.envはコミットするのが推奨で、
あとjsonも危険だから使うなってことでok?
.envをコミットするなって言ってる人って普段このスレ見てないお客さんだよね、どう見ても。
最近スレの勢いが増してるのがその証拠。
あとjsonも危険だから使うなってことでok?
.envをコミットするなって言ってる人って普段このスレ見てないお客さんだよね、どう見ても。
最近スレの勢いが増してるのがその証拠。
いやしない方がいいだろ、俺はしてたけどスレ読んでてそう思ったよ
絶対スンナ派と変に煽る奴と面白がって蒸し返す奴が出て来て荒れてるだけ
絶対スンナ派と変に煽る奴と面白がって蒸し返す奴が出て来て荒れてるだけ
>>221
お前は日本語勉強したほうがいい
要件によって左右されるものなんだから、スレの総意なんてあるわけ無いだろ
.envは普通はコミットしない(本来、環境ごとに設定するものだから)
ただ、コミットしても問題ない環境も色々ある
で、PHPerの総意としては、「セキュリティ気にするなら、サーバの環境変数を使え」
お前は日本語勉強したほうがいい
要件によって左右されるものなんだから、スレの総意なんてあるわけ無いだろ
.envは普通はコミットしない(本来、環境ごとに設定するものだから)
ただ、コミットしても問題ない環境も色々ある
で、PHPerの総意としては、「セキュリティ気にするなら、サーバの環境変数を使え」
Laravelのお作法としては、クレデンシャル情報を書き込んだ.envはコミットすんなて話だし、それだと.envにどんな変数設定したら良いかわからんて人のためには.env.sapmleてあるわけだし。
内容がどうであれ、あえて.envそのものをコミットする理由なんて無いってのがスレの総意で良いんじゃね?
内容がどうであれ、あえて.envそのものをコミットする理由なんて無いってのがスレの総意で良いんじゃね?
>>224
そのお作法のソース提示してくれ
そのお作法のソース提示してくれ
>>225
これかな?
http://laravel.com/docs/8.x/configuration#environment-file-security
でも、メインの理由は「開発者/サーバ別の環境設定が必要な可能性があるため、ファイルは、アプリケーションのソース管理にコミットすべきではない」だな。
これかな?
http://laravel.com/docs/8.x/configuration#environment-file-security
でも、メインの理由は「開発者/サーバ別の環境設定が必要な可能性があるため、ファイルは、アプリケーションのソース管理にコミットすべきではない」だな。
.envをコミットするべきではないって、セキュリティの問題もそうなんだけど、それよりも開発しにくいでしょ
俺の環境で.envを変更してたのに誰かのコミットで変更されたら、ローカルにマージするときいちいち競合してたら絶対に面倒
俺の環境で.envを変更してたのに誰かのコミットで変更されたら、ローカルにマージするときいちいち競合してたら絶対に面倒
>>218
小規模(1~2人)開発者がほとんどだと思う根拠は?
小規模(1~2人)開発者がほとんどだと思う根拠は?
>>226
セキュリティ気にするならこっちだな
http://laravel.com/docs/8.x/configuration#environment-configuration
> Any variable in your .env file can be overridden by external environment variables such as server-level or system-level environment variables.
セキュリティ気にするならこっちだな
http://laravel.com/docs/8.x/configuration#environment-configuration
> Any variable in your .env file can be overridden by external environment variables such as server-level or system-level environment variables.
>>228
俺がそうだから
俺がそうだから
>>225
お前はマニュアルも読まないし、.gitignoreもわざわざ外す人って認識でOK?
お前はマニュアルも読まないし、.gitignoreもわざわざ外す人って認識でOK?
>>218
俺は大企業に努めているわけではないが、少なくとも零細や個人事業主ではないなぁ
そもそも小規模開発の定義があいまいなんだけど、具体的人数だとプロジェクトごとのメンバーが5人未満くらいかな?
俺のところはプロジェクトによるけど大体15人前後くらいなんだけど、自分がそうだからって周りもそうだと決めつけるのは違うんじゃ?
俺は大企業に努めているわけではないが、少なくとも零細や個人事業主ではないなぁ
そもそも小規模開発の定義があいまいなんだけど、具体的人数だとプロジェクトごとのメンバーが5人未満くらいかな?
俺のところはプロジェクトによるけど大体15人前後くらいなんだけど、自分がそうだからって周りもそうだと決めつけるのは違うんじゃ?
というか、>>215の中小零細日曜エンジニアなら、.envコミットするっていう話が、どういう根拠に基づく主張なのか謎だわ。
.envコミットしているやつってlaravel-mix使ってそうw
>>234
ものすごい偏見だしlaravel-mixのことも馬鹿にしてるレスなのにすごくしっくりきて草
ものすごい偏見だしlaravel-mixのことも馬鹿にしてるレスなのにすごくしっくりきて草
>>226
DotEnvのドキュメント見るとFurthermore以降がわざわざ書いてあるのは悲しくなる
Laravel使うレベルのやつには環境変数に書き出すのが常識だと思ってたけど、このスレ見てそうじゃないって分かった
DotEnvのドキュメント見るとFurthermore以降がわざわざ書いてあるのは悲しくなる
Laravel使うレベルのやつには環境変数に書き出すのが常識だと思ってたけど、このスレ見てそうじゃないって分かった
そもそも抜かれて困る情報扱ってないしまっさらに消されてもクラウドの自動バックアップ機能で元通りになる
5人も投入して作るのは十分大規模だろ、そんなのここ10年ぐらいやってないわ、せいぜい2人
小規模って1人月ぐらいで作れるもののことだよ
小規模って1人月ぐらいで作れるもののことだよ
>>236
いや、このスレで.envをコミットしようとしているアホは1人、2人だろ。そもそもマニュアルも読まないなかーていうね。まぁアマチュアなら仕方ないけど、プロなら向いてないから転職してほしいレベル。
いや、このスレで.envをコミットしようとしているアホは1人、2人だろ。そもそもマニュアルも読まないなかーていうね。まぁアマチュアなら仕方ないけど、プロなら向いてないから転職してほしいレベル。
でも今までマニュアルに書いてなかったのに突然
.envはコミットしないでくださいってマニュアルに書くようになったってことは
.envコミットしているアホが結構多かったんだろうな
.envはコミットしないでくださいってマニュアルに書くようになったってことは
.envコミットしているアホが結構多かったんだろうな
.env.dev→ci用
.env.prod→本番
.env.example→テンプレ
.env→各個人固有環境(コミットしない)
APP_ENV環境変数指定で読むenv切り替えつつ、クレデンシャル系は書かないで環境変数でデプロイ時に指定のが普通だと思ってたわ
.env.prod→本番
.env.example→テンプレ
.env→各個人固有環境(コミットしない)
APP_ENV環境変数指定で読むenv切り替えつつ、クレデンシャル系は書かないで環境変数でデプロイ時に指定のが普通だと思ってたわ
そうやってアホアホいうから荒れるんだよ
自分とやり方違う人間はみんなアホなのかよ
自分とやり方違う人間はみんなアホなのかよ
>>240
突然って言うけど、5.0の頃から書いてあるぞ
突然って言うけど、5.0の頃から書いてあるぞ
>>240
調べたけどLaravel5.4以降のマニュアルではセキュリティリスクについて書いてあるね。5.3までは無かった。
調べたけどLaravel5.4以降のマニュアルではセキュリティリスクについて書いてあるね。5.3までは無かった。
>>242
自分とやり方が違うから責めているのではない。公式マニュアルでわざわざ「やるべきではない」て書いてあることをやっているから責めている。
自分とやり方が違うから責めているのではない。公式マニュアルでわざわざ「やるべきではない」て書いてあることをやっているから責めている。
公式マニュアルは法律でも何でもないぞ
どう使おうが使う人の勝手じゃねえか、お前に迷惑がかかるわけでもないだろ
どう使おうが使う人の勝手じゃねえか、お前に迷惑がかかるわけでもないだろ
>>247
そのコードがお前だけのもんならそれで良いんじゃね?所詮そんなレスしかできない時点でアマチュアだろうし好きにしたら?
そのコードがお前だけのもんならそれで良いんじゃね?所詮そんなレスしかできない時点でアマチュアだろうし好きにしたら?
DotEnvのドキュメントを正とすると、そもそもLaravelの使用サンプルが間違い
DotEnvの正しい用法に寄せれば、公式にあるセキュリティリスクは無視できる
まぁ、セキュリティ要件やインフラ要件で左右されるもんだから、絶対的な正があるもんでもないけど >> 241 みたいな使い方がセキュアだろうね
DotEnvの正しい用法に寄せれば、公式にあるセキュリティリスクは無視できる
まぁ、セキュリティ要件やインフラ要件で左右されるもんだから、絶対的な正があるもんでもないけど >> 241 みたいな使い方がセキュアだろうね
言い方が悪かったから気を悪くされたみたいだが、「公式にこう書いてあるから絶対そうしなければならない」みたいにあまり縛られすぎない方がいいぞ
自分で考えて合理的ならそれでいいじゃん、他人にケチ付けたりバカにしたりするもんじゃないよ
自分で考えて合理的ならそれでいいじゃん、他人にケチ付けたりバカにしたりするもんじゃないよ
php スレッド一覧へ類似してるかもしれないスレッド
- 【PHP】Laravel【フレームワーク】 Part.2 (917) - [98%] - 2019/9/10 9:15
- 【PHP】Laravel【フレームワーク】 Part.3 (983) - [98%] - 2021/2/12 4:00
- 【PHP】Laravel【フレームワーク】 Part.9 (884) - [96%] - 2022/3/13 12:00
- 【PHP】Laravel【フレームワーク】 Part.8 (148) - [96%] - 2021/8/8 21:30
- 【PHP】Laravel【フレームワーク】 Part.7 (779) - [96%] - 2021/7/9 16:18
- 【PHP】Laravel【フレームワーク】 Part.6 (745) - [96%] - 2021/6/21 6:30
- 【PHP】Laravel【フレームワーク】 Part.5 (568) - [96%] - 2021/5/1 22:00
- 【PHP】Laravel【フレームワーク】 Part.12 (314) - [94%] - 2023/1/30 18:45
- 【PHP】Laravel【フレームワーク】 Part.10 (446) - [94%] - 2022/6/6 19:30
- 【PHP】Laravel【フレームワーク】 Part.11 (870) - [94%] - 2022/8/28 15:45
- 【PHP】Laravel【フレームワーク】 (887) - [82%] - 2019/4/23 21:00
- 【PHP】フレームワーク Akelos (129) - [54%] - 2019/5/9 7:46
トップメニューへ / →のくす牧場書庫について