如何在Laravel输出中隐藏.env密码?
如何在Laravel的whoops输出中隐藏我的密码和其他敏感环境变量?
有时其他人正在研究我的开发工作。如果抛出异常,我不希望他们看到这些秘密,但我也不想继续打开和关闭调试,或者只是为了快速预览而启动专用网站。
12 个答案:
答案 0 :(得分:58)
从Laravel 5.5.13开始,a new feature允许您将密钥config/app.php下的debug_blacklist中的某些变量列入黑名单。抛出异常时,whoops将使用星号*为每个字符屏蔽这些值。
例如,给定config/app.php
return [
// ...
'debug_blacklist' => [
'_ENV' => [
'APP_KEY',
'DB_PASSWORD',
'REDIS_PASSWORD',
'MAIL_PASSWORD',
'PUSHER_APP_KEY',
'PUSHER_APP_SECRET',
],
'_SERVER' => [
'APP_KEY',
'DB_PASSWORD',
'REDIS_PASSWORD',
'MAIL_PASSWORD',
'PUSHER_APP_KEY',
'PUSHER_APP_SECRET',
],
'_POST' => [
'password',
],
],
];
此输出结果:
答案 1 :(得分:40)
首先,热爱杰夫的解决方案。
第二,如果像我一样,你想隐藏所有env variables,同时仍然使用哎呦,这是一个解决方案:
'debug_blacklist' => [
'_COOKIE' => array_keys($_COOKIE),
'_SERVER' => array_keys($_SERVER),
'_ENV' => array_keys($_ENV),
],
输出:
答案 2 :(得分:3)
感谢Jeff和Raheel的帮助,但我刚刚发现了一些陷阱:
即使我从_ENV中清除了所有环境键,仍通过列出的_SERVER变量公开相同的键。
在config/app.php中添加下面的代码将在whoops页面中隐藏所有环境变量:
'debug_blacklist' => [
'_SERVER' => array_keys($_ENV),
'_ENV' => array_keys($_ENV),
],
答案 3 :(得分:3)
通常对于本地开发,我们应该将 APP_DEBUG 环境变量设置为 true 。这样我们就可以更好地了解调试错误和警告。
但是在生产环境中,该值应始终为 false 。如果在生产中将该值设置为 true ,则可能会向应用程序的最终用户暴露敏感的环境密码。
从Laravel 5.5.x开始,还为此提供了解决方案。
您只需要在debug_blacklist配置文件中添加config/app.php选项。添加此选项后,Laravel将<{>}黑名单中所有带有星号的键。
您可以通过两种方式使用它:
方法1 –将选择性的ENV密钥和密码列入黑名单
debug_blacklist方法2 –将所有ENV密钥和密码列入黑名单
return [
// ...
'debug_blacklist' => [
'_ENV' => [
'APP_KEY',
'DB_PASSWORD',
],
'_SERVER' => [
'APP_KEY',
'DB_PASSWORD',
],
'_POST' => [
'password',
],
],
];
引用来自:https://techjeni.com/how-to-secure-and-hide-env-passwords-from-laravel-debug-output/
答案 4 :(得分:2)
Laravel 5.6不适合我。 但这有效:
$envKeys = [];
$serverKeys = [];
$cookieKeys = [];
foreach ( $_ENV as $key => $value ) { if(is_string($value)) $envKeys[] = $key; }
foreach ( $_SERVER as $key => $value ) { if(is_string($value)) $serverKeys[] = $key; }
foreach ( $_COOKIE as $key => $value ) { if(is_string($value)) $cookieKeys[] = $key; }
return [
// ...
'debug_blacklist' => [
'_COOKIE' => $cookieKeys,
'_SERVER' => $serverKeys,
'_ENV' => $envKeys,
],
];
我将为更好的解决方案而感激。
答案 5 :(得分:2)
我做了package来解决这个问题。
只需使用
进行安装composer require glaivepro/hidevara
大多数服务器和所有env变量都将被删除。 $_POST中任何类似密码的字段都将被隐藏。
您还可以使用黑名单或白名单方法对其进行自定义,以根据需要显示/模糊/删除字段。
答案 6 :(得分:2)
@jeff + @raheel的解决方案很棒!!!在最近的一个项目中,我们发现有时有时希望将一个或两个属性列入白名单,因此在上面的基础上,您可以使用以下类似的方法将要调试的特定属性列入白名单:
'debug_blacklist' => [
'_COOKIE' => array_diff(array_keys($_COOKIE), array()),
'_SERVER' => array_diff(array_keys($_SERVER), array('APP_URL', 'QUERY_STRING')),
'_ENV' => array_diff(array_keys($_ENV), array()),
],
如果您希望允许通过.env配置该列表,则可以执行以下操作:
'debug_blacklist' => [
'_COOKIE' => array_diff(
array_keys($_COOKIE),
explode(",", env('DEBUG_COOKIE_WHITELIST', ""))
),
'_SERVER' => array_diff(
array_keys($_SERVER),
explode(",", env('DEBUG_SERVER_WHITELIST', ""))
),
'_ENV' => array_diff(
array_keys($_ENV),
explode(",", env('DEBUG_ENV_WHITELIST', ""))
),
],
然后在您的.env文件中执行以下操作:
DEBUG_SERVER_WHITELIST="APP_URL,QUERY_STRING"
干杯!
答案 7 :(得分:2)
只需更改
APP_DEBUG=true
收件人:
APP_DEBUG=false
在.env文件中。
答案 8 :(得分:0)
对于Laravel 5.6-5.8:
'debug_blacklist' => [
'_COOKIE' => array_keys(array_filter($_COOKIE, function($value) {return is_string($value);})),
'_SERVER' => array_keys(array_filter($_SERVER, function($value) {return is_string($value);})),
'_ENV' => array_keys(array_filter($_ENV, function($value) {return is_string($value);})),
],
答案 9 :(得分:0)
我在生产环境中也遇到了这个问题,Laravel 5.7 https://laravel.com/docs/5.7/configuration
这里有 3 种方法可以解决这个问题。
config/app.php 文件添加下面的代码行
提示 #1:所有变量的阻止列表
'debug_blacklist' => [
'_COOKIE' => array_keys($_COOKIE),
'_SERVER' => array_keys($_SERVER),
'_ENV' => array_keys($_ENV),
],
提示 #2:特定变量的阻止列表(最佳实践)
return [
// ...
'_ENV' => [
'APP_KEY',
'DB_PASSWORD',
'REDIS_PASSWORD',
'MAIL_PASSWORD',
'PUSHER_APP_KEY',
'PUSHER_APP_SECRET',
'AWS_APP_SECRET',
'S3_BUCKET_SECRET',
'SOCKET_APP_SECRET',
'TWILIO_APP_SECRET',
],
'_SERVER' => [
'APP_KEY',
'DB_PASSWORD',
],
'_POST' => [
'password',
],
]
提示 #3:调试变量
APP_DEBUG=true 到 APP_DEBUG=false
注意:
<块引用>生产环境一直Debug False
答案 10 :(得分:0)
这里有很多很棒的答案(感谢@Jeff 和@Raheel 和@Benjamin 以及其他所有人),但我想要更灵活和通用的解决方案。我进一步扩展了这个用于 config/app.php 文件的代码段:
$debug_blacklist=array();
if(env("DEBUG_VAR_LISTING")!==null)
foreach(explode(",", env("DEBUG_VAR_LISTING", "")) as $i){
global ${"_{$i}"};
if(env("DEBUG_VAR_BLACKLIST_{$i}")!==null)
$debug_blacklist["_{$i}"]=explode(",", env("DEBUG_VAR_BLACKLIST_{$i}", ""));
elseif(env("DEBUG_VAR_WHITELIST_{$i}")!==null)
$debug_blacklist["_{$i}"]=array_diff(
array_keys(${"_{$i}"}),
explode(",", env("DEBUG_VAR_WHITELIST_{$i}", ""))
);
}
return [
'debug_blacklist' => $debug_blacklist,
];
然后您可以直接在 .env 中将黑名单和白名单列入黑名单和白名单,并且仅当您需要时。
因此,如果您真的不需要 $_ENV 中的任何内容,您可以在 $_POST 中阻止所有变量,例如只阻止密码,但显示 APP_URL和来自 $_SERVER 的 QUERY_STRING:
DEBUG_VAR_LISTING="SERVER,ENV,POST,COOKIE"
DEBUG_VAR_WHITELIST_SERVER="APP_URL,QUERY_STRING"
DEBUG_VAR_WHITELIST_ENV=""
DEBUG_VAR_BLACKLIST_POST="password"
答案 11 :(得分:-1)
我在开发机器上也为此付出了一些努力。我的解决方案是编辑vendor/filp/whoops/src/Whoops/Handler/PrettyPageHandler.php并添加:
public function sanitizePrivate($data, $badwords){
foreach ($data as $key=>$value) {
foreach ($badwords as $keyword) {
// dd($key);
if (strpos(strtolower($key), $keyword) !== FALSE) {
$data[$key] = "***************";
}
}
}
return $data;
}
这会将所有传入的数据转换为小写,然后搜索部分匹配项,因此您不必指定密码变量名称的每个变体。然后在handle()函数中,定义要排除的术语。
$badwords = array("password", "pwd", "secret", "key", "token", "salt", "mail");
$_SERVER=$this->sanitizePrivate($_SERVER, $badwords);
$_ENV=$this->sanitizePrivate($_ENV, $badwords);
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?