Laravel 通过 .env 文件管理多环境配置，需确保其被正确加载、不提交至版本库、使用全大写变量名、在 config 文件中用 env() 封装并设默认值，部署时运行 config:cache 并禁止 Web 访问。

在 Laravel 中，.env 文件是管理不同环境（开发、测试、生产）配置的核心方式。它让敏感信息（如数据库密码、API 密钥）不硬编码在代码中，也便于部署时快速切换配置。

确保 .env 文件被正确加载

Laravel 在启动时会自动通过 vizhun/vlucas/phpdotenv 加载项目根目录下的 .env 文件。只要文件存在且格式正确，变量就会注入到 $_ENV 和 getenv() 中，并可通过 env() 或 config() 辅助函数读取。

• 首次安装后运行 php artisan key:generate，它会自动生成 APP_KEY 并写入 .env
• 确保 .env 文件在 .gitignore 中——绝不提交到版本库
• 部署时需手动创建或通过 CI/CD 注入 .env，不能依赖本地副本

定义和读取环境变量的规范写法

变量名建议全大写、用下划线分隔，值两端不加引号（除非含空格或特殊字符）。Laravel 的 config/*.php 文件中应统一用 env('KEY', 'default') 获取，而非直接调用 $_ENV。

• ✅ 正确：DB_HOST=localhost、MAIL_FROM_ADDRESS="admin@example.com"
• ❌ 避免：db_host=localhost（大小写不一致难维护）、APP_DEBUG=true（布尔值应为 true/false 字符串，Laravel 会自动转换）
• 推荐在配置文件中做类型转换，例如：'debug' => filter_var(env('APP_DEBUG', false), FILTER_VALIDATE_BOOLEAN)

避免常见陷阱

.env 只用于运行时配置，不是逻辑开关。不要在 .env 中放数组、JSON 或 PHP 代码；也不要在中间件或控制器里频繁调用 env() —— 它只在启动时解析一次，后续应通过 config() 访问缓存后的值。

• 不要在 config/app.php 外直接写 env('SOME_VAR')，应在对应 config 文件中封装并提供默认值
• 缓存配置：上线前务必运行 php artisan config:cache，此时 env() 不再生效，所有配置以缓存为准
• 修改 .env 后，若已缓存配置，需重新执行 config:cache 才生效

多环境与安全加固建议

开发和生产环境应使用完全独立的 .env 文件。可借助 .env.example 作为模板，用 cp .env.example .env 初始化新环境，并在 README 中说明必填字段。

• 敏感值（如 APP_KEY、AWS_SECRET）必须随环境单独生成，禁止复用
• 生产环境建议禁用 APP_DEBUG=true，防止泄露堆栈信息
• Web 服务器（Nginx/Apache）需配置禁止访问 .env 文件，例如 Nginx 中添加：location ~ /\.env { deny all; }

基本上就这些。用好 .env 的关键是：隔离、默认值、缓存意识、权限控制。不复杂但容易忽略细节。