0

可能重复:
是否可以在 apache 访问日志中排除指定的 GET 参数?

apache的日志中隐藏了一个安全漏洞:

比如如果你在浏览器中输入一个关于http://localhost/meeting/import.php?cmd=admin&password=pass&userName=hsh&meetingID=123的 URL,那么 access.log 会完整记录它,所以这是一个安全问题,因为它记录安全参数:cmd=admin&password=pass&userName=hsh&meetingID=123

现在,我想控制我的日志打印,使参数替换为@符号,如果我执行一个不包含安全参数的 url,例如http://localhost/meeting/op.do, access.log 必须记录它,但是如果我输入一个包含安全参数的 url,例如http://localhost/meeting/import.php >?cmd=admin&password=pass&userName=hsh&meetingID=123,那么正则表达式替换必须起作用,它会解决: http:// localhost/meeting/import.php?cmd=@@&password=@@&userName=@@&meetingID=@@进入日志,我应该去实现什么?提醒:我的开发环境是W7。谢谢!

4

0 回答 0