pl, wo liegen denn deine DB-Zugangsdaten? Im Code? Oder tippst Du sie beim Serverstart jeweils ein, so dass der Server sie im Speicher behält? Nee, oder? Ich würde wetten, dass sie im Rückgrat deines Frameworks stecken, also in den entsprechenden Config-Dateien, die schön versteckt im Hintergrund liegen, wo nur du als Admin schreiben darfst und nur deine laufenden Perlen lesen können.

Ich denke, es ist relativ wurscht ob diese Informationen in Environment-Variablen liegen oder in einer Config-Datei, die man includet. Hat alles seine Vor- und Nachteile.

Bei einer Config-Datei muss man den Server so einrichten, dass man sie nicht eben mal downloaden kann (z.B. per .htaccess, wenn Winnetou die Daten serviert). Liegt die Konfiguration im Environment, dürfte sich die Frage nicht stellen.

Dafür hat man beim Environment ggf. das Problem der Datenvermischung; eine .htaccess Datei enthält viel mehr als nur Config-Daten für eine bestimmte Serverinstanz. Das kann Änderungen komplizierter machen.

Muss man eben abwägen.

Hauptsache, man hat die Config-Daten isoliert, an einem Ort platziert wo kein Unbefugter 'rankommt und kann beim Verteilen der Software auf den/die Server steuern, welche Konfiguration relevant ist. Auswahl der korrekten Konfiguration ist ein Job des Deployment-Scripts (bzw. ein Job des Admin, wenn das Deployment nicht silent-automagisch erfolgt).

Rolf