Doğru kullanım ve yapılandırmalarda erişilemiyor doğrudur hocam. Bende projelerimde .env üzerinde tutuyorum fakat okuduğum bazı yabancı makalelerde bazı dork lar ile bu env erişilebildiği yazıyordu. Ayrıca laravel in kendi dökümantasyonunda bunun bir zaafiyete neden olabileceği belirtiliyor (bkz:
https://laravel.com/docs/5.4/configuration ) Tabii bu laravel kaynaklı bir zaafiyet değil , hatalı kullanım veya sunucu ayarlarının hatalı yapılması sonucunda olur diye düşünüyorum.
Birden fazla kişinin çalıştığı bir projede zaten .env olmasa sürekli config klasörünü local e göre düzenlemek vs işkence olur.
Ben her hangi bir yerde env dosyası ile ilgili uyarı görmedim, verdiğiniz link'te de bir zafiyetten bahsetmiyor. tavsiye edilmeyen tek şey kaynak kod repo'suna gönderilmemesi gerektiği (Sizin de belirttiğiniz gibi çoklu kişilerin çalıştığı projelerde karışlılığa sebep olabileceği, kişisel private key'lerin ifşa olabileceği gibi risklerden bahsedilmiş.) ki .gitignore dosyasında ilk dosya .env dosyasıdır sync dışında tutulan. .env dosyası public altında yayınlanmadığı için güvenlidir, onun haricinde sunucu güvenliği sağlanmamışsa zaten config.php dosyasına da erişilebilir aynı mantık ile. şimdiye kadar .env dosyası ile hack'lenen olmadı.
https://laracasts.com/discuss/channe...=0#reply=38761
buradan ufak bir açıklama var bakabilirsiniz. .env mantığını node.js den vue'ye kadar bir çok projede kullanılıyor. Sanırım google çeviri kullanıyorsunuz, o yüzden çeviri hatasından dolayı böyle düşmüş olabilirsiniz. Ancak .env dosyasına yazmak ile config.php dosyasına yazmak arasında her hangi bir fark yok. .env dosyasına erişim sağlayan config.php'ye de sağlamış olur.
O yüzden güvenle kullanabilirsiniz, hiç config veya başka dosyalarda hardcode işleri ile uğraşmayın, bu gibi tekniklerin nimetlerinden faydalanmadıktan sonra 10 yıl önceki spagetti php mantığına dönmüş oluruz
