Pourquoi ne faut-il pas laisser la SECRET_KEY en clair dans Django ?

La SECRET_KEY est utilisée pour signer les données de session et les jetons de sécurité. Si elle est publique, un attaquant peut usurper l'identité de vos utilisateurs ou corrompre vos données.

C'est quoi un fichier .env ?

C'est un fichier texte simple qui stocke des paires clé-valeur pour configurer votre application sans inclure ces données sensibles dans votre code source.

Comment récupérer une variable d'environnement en Python ?

On utilise généralement la fonction os.getenv('NOM_DE_LA_VARIABLE') après avoir importé le module os.

Faut-il envoyer le fichier .env sur GitHub ?

Absolument pas. Vous devez impérativement l'ajouter à votre fichier .gitignore pour qu'il reste local sur votre machine ou votre serveur.

Quelle est la différence entre python-dotenv et django-environ ?

Les deux font le même travail, mais django-environ offre des fonctionnalités supplémentaires comme la conversion automatique des types (booléens, entiers) et la gestion des URLs de base de données.

Variables d'environnement Django : Sécuriser vos clés secrètes

OUJOOD.COM

L'une des erreurs les plus graves que je vois chez les débutants est de laisser traîner des informations sensibles directement dans le fichier settings.py. Si vous envoyez votre code sur GitHub avec votre clé secrète ou vos accès de base de données en clair, n'importe qui peut prendre le contrôle de votre application. La solution ? Les variables d'environnement.

Pourquoi utiliser un fichier .env ?

L'idée est de séparer la configuration de votre code. Le code est le même pour tout le monde, mais les réglages (mots de passe, clés API) changent selon que vous travaillez sur votre ordinateur ou sur le serveur final. En utilisant un fichier .env, vous gardez vos secrets sur votre machine sans jamais les partager avec le reste du monde.

Mise en place avec python-dotenv

Il existe plusieurs outils, mais python-dotenv est l'un des plus simples. Commencez par l'installer dans votre environnement virtuel :

📋 Copier le code

pip install python-dotenv

Créez ensuite un fichier nommé .env à la racine de votre projet et listez vos variables sans espaces autour du signe égal :

📋 Copier le code

SECRET_KEY=ma-cle-tres-secrete
DEBUG=True
DB_PASSWORD=mon-mot-de-passe-complexe

Charger les variables dans settings.py

Maintenant, il faut dire à Django d'aller lire ce fichier. Au tout début de votre settings.py, ajoutez ces quelques lignes. C'est une étape que je vous conseille de faire dès la création de votre projet pour ne jamais prendre de mauvaises habitudes.

📋 Copier le code

import os
from dotenv import load_dotenv

# Charge le fichier .env
load_dotenv()

SECRET_KEY = os.getenv('SECRET_KEY')
DEBUG = os.getenv('DEBUG') == 'True'

N'oubliez jamais d'ajouter le fichier .env à votre .gitignore. C'est le point le plus important : si vous l'oubliez, tout ce travail de sécurisation ne servira à rien.

Une fois votre configuration sécurisée, vous pourrez gérer de gros volumes de données sans crainte. Pour rendre ces données lisibles sur votre site, nous allons étudier la pagination Django.

Par carabde | Mis à jour le 08/05/2026

Envoyer des emails avec Django

Sommaire

La pagination Django

Variables d'environnement dans Django

OUJOOD.COM

Pourquoi utiliser un fichier .env ?

Mise en place avec python-dotenv

Charger les variables dans settings.py