Ich habe gerade festgestellt, dass Sql Profiler 2008 Trace-Ausgaben nicht versteckt, die SP-Parameter als Passwort enthalten. Im Jahr 2005 gab es mir die Nachricht "Der Text wurde aus Sicherheitsgründen durch diesen Kommentar ersetzt".SQL Profiler 2008 - Zeigt Passwörter
Haben sie diese Sicherheitsfunktion entfernt?
Es gibt einen Unterschied zwischen dem Einfangen der Zeichenfolge "Kennwort" und echten Sicherheitslücken. diese
Versuchen:
CREATE LOGIN foo WITH PASSWORD = 'bar'
In SQL 2005 Profiler:
--*CREATE LOGIN-----------------------
Sicherheit aufrechterhalten wird.
Nun, wenn Sie ein Passwort Spalten dynamische SQL sind das Senden ...
Aber wenn Sie Ihre Passwörter als Parameter übergeben, sollte es angezeigt werden. Die Lösung sollte Passwörter verschlüsselt in der Datenbank speichern. Durch diese Lösung müssen Sie Ihre Passwörter verschlüsselt weitergeben.
Ich bin nicht aber SQL-Experte Ich dachte, wenn die Spur das Wort Passwort gefunden würde es automatisch auszublenden und stattdessen die Sicherheitsmeldung? – redsquare
Ich denke, es ist deine Design-Wahl. Was passiert, wenn Sie Ihre Passwörter in einem Feld wie PassCode speichern? Sie haben sich entschieden, Ihre Passwörter in Ihrer Datenbank zu speichern, damit sie nicht davon abgehalten werden können. Wenn sie wertvoll sind, sollten Sie wissen, dass jemand (der Ihre Datenbank verfolgen kann) leicht darauf zugreifen kann, indem Sie Ihre Tabelle auswählen. – Canavar
Ja, es hat verwendet, um automatisch "Passwort" in Profiler herauszufiltern, ich glaube, das war eine Funktion in vielleicht in SQL Server 2000 SP4 hinzugefügt, aber ich habe eine Reihe von Menschen gesehen, die diese abschalten wollte wie es war Instanzen ausfiltern, die sie eigentlich sehen wollten. Also, ob MS es entfernt/die Funktionalität umschaltbar gemacht habe, bin ich mir nicht sicher - kann anscheinend nichts für 2008 atm finden.
Edit: Ich kann keine Informationen dazu finden über 2008. Alles, was ich finden kann bezieht sich auf Menschen, die das Gegenteil tun wollen - in Sql 2000/2005, schalten Sie das "Feature" aus, für die die Lösung war es, die Verwendung des Parameters "password" durch einen alternativen Namen wie "pwd" zu ersetzen.
Es wurde in SQL Server 2000 SP4 eingeführt. Offenbar ist der einzige Weg, um es aus * dieser * Version zu entfernen, das Patchen der exe-Datei! (Huch!) Siehe hier: http://www.andreabertolotto.net/Articles/SP4BlacklistedWordsRemover.aspx – CraigTP
yup, zum Glück nicht meine App. Ich habe Profiling auf der Suche nach Perf-Problemen gemacht und fand diese in der Legacy-App der Kunden. – redsquare