Legal, isso acontece, mas só fique desesperada se der update sem where no banco de produção rsrsrs.
Legal em prod é uma um cofre de secrets como o Hashicorp Vault ali você coloca as variaveis de ambientes de cada servidor (se você tem mais de um ambiente) e só quem tem a senha consegue ver. Acredito que ainda não entra dentro do seu contexto mas, vale a pesquisa é bem legal.
Em resposta a .env e .env.production 🖥️
1