Credentials in Umgebungsvariablen setzen!? Das ist nicht dein Ernst oder!? Noch einmal zur Erinnerung: Die Serverumgebung ist Bestandteil der CGI Schnittstelle nach CGI/1.1 und dient dazu, Requestparameter an nachgelagerte Prozesse zu kommunizieren.
Richtig, so gelangen Umgebungsvariablen vom Webserver-Prozess an den PHP-Prozess. Das ist ja gewünscht. Worauf du vermutlich hinweisen willst, ist dass die Umgebung auch an weitere Kindprozesse durchgereicht werden könnte, die von PHP aus gestartet werden. Bei Apache-Webservern muss man solchen Enkelprozessen deshalb die Privilegien mit env -i
ausdrücklich entziehen. Bei nginx-Webservern ist das einfacherer, der entzieht allen Enkelprozessen automatisch die Umgebungsvariablen. Das steht auch in den Tipps zu Umgebungsvariablen, die ich hier verlinkt habe.
D.h., eine Konfiguration gleich welcher Art hat in der Serverumgebung nichts verloren. Das kannst Du vielleicht im stillen Kämmerlein mal testen aber nicht hier als Empfehlung durchreichen.
Doch, das ist der Stand der Technik und die sicherste Variante Konfigurationen zwischen Deploys zu trennen. Die Richtlinien der Twelve-Factor-App, die ich ebenfalls verlinkt habe, haben dazu auch extra einen Abschnitt.