我刚刚注意到Sql Profiler 2008没有隐藏包含名为password的sp params的跟踪输出。在2005年它曾经给我一条消息说“出于安全原因,该文本已被这条评论所取代”。
他们是否已删除此安全功能?
答案 0 :(得分:2)
捕获字符串“password”和真正的安全漏洞之间存在差异。
试试这个:
CREATE LOGIN foo WITH PASSWORD = 'bar'
在SQL 2005探查器中:
--*CREATE LOGIN-----------------------
保持安全。
现在,如果您要将动态SQL发送到密码列......
答案 1 :(得分:0)
但是如果您将密码作为参数传递,它应该显示它。解决方案应该是存储在数据库中加密的密码。通过此解决方案,您需要加密密码。
答案 2 :(得分:0)
是的,它确实用于在Profiler中自动过滤掉“密码”,我相信这可能是在SQL Server 2000 SP4中添加的一个功能,但我看到很多人都希望在过滤时将其关闭他们实际想要看到的实例。因此,MS是否已将其删除/使该功能可切换我不确定 - 似乎无法在2008年atm上找到任何内容。
编辑:我找不到有关2008年的任何信息。我能找到的所有内容都与想要反其道而行之的人有关 - 在sql 2000/2005中,关闭“功能”,解决方案是将“password”参数替换为“pwd”等替代名称。