我刚刚注意到 Sql Profiler 2008 没有隐藏包含称为密码的 sp 参数的跟踪输出。在 2005 年,它曾经给我一条消息说“出于安全原因,文本已被此评论替换”。
他们是否删除了此安全功能?
问问题
2802 次
3 回答
2
捕获字符串“密码”和真正的安全漏洞是有区别的。
试试这个:
CREATE LOGIN foo WITH PASSWORD = 'bar'
在 SQL 2005 探查器中:
--*CREATE LOGIN-----------------------
安全得到维护。
现在,如果您将动态 SQL 发送到密码列...
于 2009-07-22T09:38:45.083 回答
0
但是,如果您将密码作为参数传递,它应该会显示它。解决方案应该是在数据库中存储加密的密码。通过此解决方案,您需要传递加密的密码。
于 2009-07-22T09:09:42.567 回答
0
是的,它确实用于在 Profiler 中自动过滤掉“密码”,我相信这可能是在 SQL Server 2000 SP4 中添加的一项功能,但我看到很多人想要关闭它,因为它正在过滤掉那些他们实际上想看看。因此,我不确定 MS 是否已删除它/使该功能可切换 - 似乎在 2008 atm 上找不到任何东西。
编辑:我找不到关于 2008 年的任何信息。我能找到的一切都与想要做相反的人有关 - 在 sql 2000/2005 中,关闭该“功能”,解决方案是替换使用"password" 参数具有替代名称,如 "pwd"。
于 2009-07-22T09:20:23.183 回答