Po przeglądzie security stwierdzamy że w starym kodzie były zakomentowane klucze P24 hardcoded w kilku kontrolerach (MainController, HomepageController — 4 instancje).
Wszystkie zastąpione $_ENV['P24_*'] z env vars (te same które używa Przelewy24Service). Klucze sandbox/PROD trafiają tylko do .env.local (nie commitowany). Komentarze z hardcoded values usunięte.