# Segurança — credenciais e segredos

## Problema encontrado

Durante a análise do ZIP `public_html(1).zip`, foram encontrados arquivos com credenciais/configurações sensíveis hardcoded.

## Arquivos com atenção imediata

| Arquivo | Risco | Correção recomendada |
|---|---|---|
| `public_html/model/db.php` | Host, usuário e senha do banco no código. | Migrar para variáveis de ambiente ou arquivo fora do `public_html`. |
| `public_html/pages/Franquia/config.php` | Config real de banco/admin/SMTP. | Não versionar; manter apenas `config.sample.php`. |
| `public_html/NPS/nps_app_php/config/config.php` | Configuração de banco e SMTP. | Usar `getenv()` para todos os segredos. |
| `public_html/pages/Home/sections/instagram.php` | Token de acesso hardcoded. | Migrar token para variável de ambiente. |
| Arquivos `.sql` em pasta pública | Podem expor estrutura e dados. | Remover após instalação ou bloquear por `.htaccess`. |
| `.zip` dentro de `img/` | Backup público/acidental. | Remover do `public_html`. |

## Padrão correto

- Nunca expor senha no repositório.
- Nunca enviar `config.php` real em pacote de suporte.
- Usar `.env.example` sem valores reais.
- Em cPanel/UOL, guardar segredo em variável de ambiente quando disponível ou em arquivo fora da pasta pública.
- Rotacionar senhas quando houver suspeita de exposição.

## Exemplo `.env`

```dotenv
DB_HOST=128.0.0.1
DB_DATABASE=motionfit_site
DB_USERNAME=usuario
DB_PASSWORD=trocar
SMTP_HOST=smtps.uhserver.com
SMTP_PORT=465
SMTP_USERNAME=sistema.auxiliar@motionfitacademia.com.br
SMTP_PASSWORD=trocar
META_INSTAGRAM_TOKEN=trocar
```

## Ação imediata recomendada

1. Trocar a senha do banco usada no site público.
2. Trocar a senha SMTP encontrada/configurada em apps.
3. Revogar e recriar token do Instagram/Meta.
4. Remover arquivos `.zip`, `.sql` e configs reais de `public_html`.
5. Validar se diretórios de upload não executam PHP.