PHP Lang
  1. PHP Lang
  3. Можно ли скрыть пароль в журналах MySQL General / Slow Query?
Intereting Posts
WordPress: Загрузить изображение на странице «Параметры администратора» MP4 воспроизводится при доступе напрямую, но не при чтении через PHP, на iOS regex вытащить все атрибуты из всех метатег Класс javascript для FileReader, не работающий с IE Запросить токен OAuth от BitBucket if (isset ($ _ POST не работает для Internet Explorer Какой обмен сообщениями об ошибках я могу вставить в этот скрипт, чтобы выяснить проблему отображать одно значение столбца запроса mysqli в php Как получить .htaccess для перенаправления из поддомена подстановочной страницы в папку поддомена подстановочных знаков Как преобразовать RTF в PDF с моей веб-страницы PHP с помощью OpenOffice? Как получить количество фильтрованных строк Не удается отправить почту через PHPMailer Электронная коммерция с нуля или нет Удалить последнюю запятую или предотвратить ее печать на всех MySQL / PHP Интеграция CodeIgniter и PhPBB 3.1.3

Можно ли скрыть пароль в журналах MySQL General / Slow Query?

Иногда я просматриваю свои журналы MySQL, и я натыкаюсь на некоторые запросы AES_ENCRYPT / AES_DECRYPT, показывающие пароль в виде открытого текста.

Если я создам журналы внутри PHP, я смогу их удалить .

Но как насчет обычных / медленных журналов запросов MySQL . Является ли их вариант доступным или можно установить переменную mySQL, которая не будет сохранена в журналах?

К сожалению, я не знаю, как отключить ведение журнала MySQL для отдельных операторов. Документация MySQL советует сохранить защищенные журналы по этой причине:

Из 5.2.3. Общий журнал запросов

Начиная с MySQL 5.6.3, пароли в операторах, записанных в общий журнал запросов, перезаписываются сервером, чтобы не происходить буквально в виде простого текста. Переустановка пароля может быть подавлена ​​для общего журнала запросов, запустив сервер с опцией -log-raw. Этот параметр может быть полезен для диагностических целей, чтобы увидеть точный текст операторов, полученных сервером, но по соображениям безопасности не рекомендуется для использования в производстве.

Перед MySQL 5.6.3 пароли в операторах не переписываются и общий журнал запросов должен быть защищен. См. Раздел 6.1.2.2 « Руководство администратора по безопасности паролей ».

К сожалению, это (начиная с 5.6.3) встроенный анти-парольный журнал идет только для функции MySQL PASSWORD ().

Я вижу несколько возможных решений для вашей проблемы:

  1. Для каждого запроса: отключите журнал, выполните запрос, включите журнал
  2. Хешируйте пароль в самом приложении (в вашем случае, php sha)
  3. Защитите лог-файлы, чтобы никто не мог видеть утверждения
  4. Войдите в приложение, которое удаляет сами пароли