¿Es posible ocultar la contraseña en MySQL General/Slow Query Logs?

Question

A veces miro a través de mis registros de MySQL y tropiezo con algunas solicitudes AES_ENCRYPT/AES_DECRYPT que muestran la contraseña en texto plano.

Si creo los registros dentro de PHP podría delete ellos.

Pero ¿qué pasa con MySQL general/slow query logs. ¿Hay una opción disponible o es posible establecer una variable mySQL que no se guardará en los registros?

Answer 1

Desafortunadamente, no conozco ninguna manera de deshabilitar el registro de MySQL para declaraciones individuales. La documentación de MySQL aconseja mantener los registros garantizados por esta razón:

De 5.2.3. The General Query Log

A partir de MySQL 5.6.3, las contraseñas en los estados escritos en el registro general de consulta son reescritos por el servidor no se produzca literalmente en texto simple . La reescritura de la contraseña se puede suprimir para el registro de consulta general iniciando el servidor con la opción --log-raw. Esta opción puede ser útil para fines de diagnóstico, para ver el texto exacto de las declaraciones como recibidas por el servidor, pero por razones de seguridad no se recomienda para uso de producción.

Antes de MySQL 5.6.3, las contraseñas en las sentencias no se reescriben y el registro de consultas generales debe estar protegido. Vea la Sección 6.1.2.2, "Administrator Guidelines for Password Security".

Desafortunadamente, eso (desde 5.6.3) incorporado anti-password-logging va solo para la función MySQL PASSWORD().

veo algunas soluciones posibles para su problema:

1. Para cada consulta: deshabilitar el registro, ejecute la consulta, habilitar el registro de
2. hash de la contraseña en su propia aplicación (en su caso, php sha)
3. asegurar los archivos de registro por lo que nadie puede ver las declaraciones
4. Acceder a una aplicación que elimina la propia