Segurança e credenciais

Regras obrigatórias

• Não versionar .env real.
• Não versionar senha de banco, usuário de SMTP, token EVO, token Google, JWT secret, token Power BI ou credencial de parceiro.
• Não deixar phpinfo() público.
• Não deixar arquivos .sql, .zip, .bak, logs e dumps acessíveis pela web.
• Rotacionar qualquer credencial que apareceu em ZIP enviado, backup, print ou repositório.

Modelo seguro de variáveis

APP_ENV=production
APP_DEBUG=false
DB_HOST=<HOST_DO_BANCO>
DB_NAME=<NOME_DO_BANCO>
DB_USER=<USUARIO_DO_BANCO>
DB_PASS=<SENHA_NO_SERVIDOR>
JWT_SECRET=<SEGREDO_JWT_NO_SERVIDOR>
EVO_TOKEN=<TOKEN_EVO_NO_SERVIDOR>
SMTP_HOST=<HOST_SMTP>
SMTP_USER=<USUARIO_SMTP>
SMTP_PASS=<SENHA_SMTP_NO_SERVIDOR>

Checklist antes de publicar

• .env real fora do ZIP público.
• Diretórios de upload sem execução PHP.
• Admin protegido por sessão e CSRF quando houver POST sensível.
• Senhas com hash seguro.
• Erros técnicos desativados em produção.
• Backups fora de public_html.
• Credenciais antigas rotacionadas.
• Permissões de arquivos revisadas no cPanel/UOL.