不要将实际的配置文件放入版本控制中，而是可以将模板或默认文件放在版本控制中，并编写一个脚本来请求数据库信息和凭据以生成真正的配置文件，这个配置文件应该被排除在（即忽略）版本控制之外。在检出时，开发人员可以运行此脚本以获得工作环境。该脚本也可以作为应用程序使用的任何安装过程的一部分来调用。

还可以查看我对类似问题的回答。

我不确定你的配置是如何实现的，但是我会使用层次化覆盖来处理这个问题。

你可以有一个包含通用配置和虚拟用户名/密码（或完全省略）的主配置文件。然后每个开发者创建一个本地的override.config（或其他名称），其中包含他们特定的用户名/密码。主配置文件放在源代码控制下，而开发者（或机器）的本地覆盖不需要。

我已经在.NET中完成了这个操作，但是对于PHP而言，我不知道这个操作是否容易，请见谅。

创建一个本地覆盖文件，其中包含用户特定信息作为PHP变量。
例如，创建一个名为local_overrides.php的文件，其中包含以下内容：

$local_password = 'qUzaEAFK13uK2KHy';

然后在包含您的数据库密码的文件中，执行以下操作：

$overrides = 'local_overrides.php';

if (file_exists($overrides)) {
   #include_once($overrides);
   $db_password = $local_password;
} else {
   // perform appropriate action: set default? echo error message? log error?    
   $db_password = 'l1m1t3d!'
}

本地覆盖文件不需要被源代码控制系统看到。

是否有一个单独的文件只存储机密信息，并且不受版本控制？

或者更理想的是，完全取消密码，使用openssh或类似工具，对每个用户进行公钥/私钥身份验证。

那么有没有一种预提交钩子来清空敏感字段呢？当然，这假设你首先能够舒适地将文件发送到网络上。

为了处理更新，您可以强制手动合并敏感文件，或修改本地构建过程以用本地/私有/忽略文件中的内容覆盖敏感行。

我习惯用与config文件结构相同的方式创建一个txt文件。 然后我会复制一份并更改扩展名，让我的版本控制系统忽略这个文件（或文件）。

所以当你更改配置文件时，只需更新其txt版本。 这是我能想到的唯一逻辑选项（在我的看法中）

我对此的首选答案已经在这里提到了：检查一个虚拟文件，通过在运行时复制虚拟文件来生成“真实”文件，并在您的版本控制系统中忽略“真实”文件。

我已经回答了一个类似的问题，并给出了一个完整的示例，说明如何在Visual Studio中完成：
如何使用Tortoise Hg在Kiln/Mercurial中忽略“作为存储库一部分”的文件。

在我的项目中，我使用一个目录来保存这些文件，但它没有上传到服务器，所以我的数据库配置文件在那个目录中，并且已经配置为项目所在的服务器。如果有人更改了配置文件，他将更改服务器配置文件，任何更新版本的人都会看到该文件中的更改，并需要手动更改本地配置。
我不知道除此之外还有什么其他方法。如果您找到了不同的方法，请分享一下。

我曾经做过类似的事情，但我不知道这是否适用于您。我有一个包含密码文件的目录，该目录没有版本控制。这些文件以使用它们的应用程序命名，并在配置文件中，在需要时“source”相应的密码文件。这将要求您的配置解析器能够处理sourcing。