Я только что заметил, что Sql Profiler 2008 не скрывает выходы трассировки, которые включают в себя параметры sp, называемые паролем. В 2005 году он дал мне сообщение о том, что «текст был заменен этим комментарием по соображениям безопасности».SQL Profiler 2008 - показывает пароли
Удалены ли эти функции безопасности?
Существует различие между улавливанием строки «пароль» и подлинными дырами в безопасности.
Попробуйте это:
CREATE LOGIN foo WITH PASSWORD = 'bar'
В SQL 2005 профилировщика:
--*CREATE LOGIN-----------------------
безопасности поддерживается.
Теперь, если вы отправляете динамический SQL пароля столбцы ...
Но если вы передадите свои пароли в качестве параметров, он должен отобразить его. Решение должно содержать пароли, зашифрованные в базе данных. Благодаря этому решению вам нужно будет зашифровать ваши пароли.
Я не эксперт SQL, однако я думал, что если след нашел пароль слова он будет автоматически скрывать и показывать сообщение безопасности вместо этого? – redsquare
Я думаю, что это ваш выбор дизайна. Что делать, если вы сохраняете свои пароли в поле PassCode? Вы решили сохранить свои пароли в своей базе данных, чтобы они не мешали им. Если они ценны, вы должны знать, что кто-то (кто может отслеживать вашу базу данных) может легко получить к ним доступ, выбрав свою таблицу. – Canavar
Да, он действительно использовал, чтобы автоматически отфильтровать «пароль» в Profiler, я считаю, что это была функция, добавленная, возможно, в SQL Server 2000 SP4, но я видел, как многие люди хотели отключить это, поскольку это было отфильтровывая экземпляры, которые они действительно хотели увидеть. Так ли MS удалили его/сделали эту функциональность переключаемой, я не уверен - не может найти ничего на ней на 2008 atm.
Редактировать: Я не могу найти информацию об этом относительно 2008. Все, что я могу найти, относится к людям, желающим сделать обратное - в sql 2000/2005 отключите эту функцию, для которой решение было заменить использование параметра «пароль» альтернативным именем типа «pwd».
Он был представлен в SQL Server 2000 SP4. По-видимому, единственный способ удалить его из * этой * версии - через исправление файла exe! (Yikes!) См. Здесь: http://www.andreabertolotto.net/Articles/SP4BlacklistedWordsRemover.aspx – CraigTP
yup, к счастью, не мое приложение. Я профилировал поиск перфомансов и нашел это в устаревшем приложении клиентов. – redsquare