你可能不知道敏感信息硬编码在程序中会带来多大的麻烦。

我曾经写过一个用 Python 发送 html 邮件及附件的程序，分享在了网络上，里面的收件人没有做隐藏处理，用的是我自己最常用的邮箱。然后，苦恼随之而来：我会不停的收到测试邮件(垃圾邮件)。问了其中一个发件人才知道有培训机构用这个教学，学员什么都不改直接运行，于是我就不停的收到邮件。

这点麻烦与泄漏密码相比，还是小的。就有人不小心把含有用户名密码的程序上传到开源网站上。

解决这个问题，就需要让敏感信息和程序代码解耦，敏感信息放在一个文件中，程序代码放在另一个文件中，发布程序上避免上传敏感信息。通常来说，有两种方式：

1、配置文件。

你可以使用标准库 configparser[1] 来解析配置文件。好处就是你不仅可以读取配置文件，还可以更新配置文件。

你还可以使用一个 python 文件来当配置文件，最优雅的方式就是模仿 Django，搞一个默认的 settings.py，和用户自定义的 settings.py 用户自定义的配置可以覆盖默认的配置。这种方式非常简单，没有记忆负担，就像写 Python 代码一样。

2、环境变量。

环境变量(environment variables)是指在操作系统中用来指定操作系统运行环境的一些参数，比如说安装 Python 的过程中是否需要将 Python 可执行程序添加到 Path 中，这个 Path 就是一个环境变量。