`
ghost138
  • 浏览: 45589 次
  • 性别: Icon_minigender_1
  • 来自: ...重庆
最近访客 更多访客>>
yeshaoting
社区版块
存档分类
最新评论

Log文件显示敏感信息的问题

    博客分类:
  • ROR
Rails 
阅读更多
   今天客户提出一个log里面显示了用户登录是显示了密码明文的问题,这些东西非常危险,恶意的人总是能想办法(这个办法很多,比如旁注等)拿到你的日志文件,而这个日志文件比起加密的数据库文件还要危险。
复制下面这行代码到ApplicaitonController  Class中
filter_parameter_logging "password" 
问题就解决了,log中显示为:
Processing HomeController#login (for 127.0.0.1 at 2007-12-14 15:20:53) [POST]
  Session ID: a259eade57197f761fd6fbcbf76ddcdc
  Parameters: {"commit"=>"登录", "action"=>"login", "username"=>"admin", "controller"=>"home", "password"=>"[FILTERED]"}
另外,如果想在开发环境下显示POST logging,但是在产品环境下完全不显示,可以改为:
filter_parameter_logging("password") if RAILS_ENV == "production"
这样就可以了。
如果想在产品环境完全禁止POST logging,则可以在production.rb中修改:
config.log_level = :warn


SO GOOD~!
分享到:
| 外挂式集成全文搜索功能
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    NSIS LOG 文件

    它的LOG文件是NSIS脚本在运行过程中生成的日志文件,通常用于调试和诊断安装过程中的问题。以下是关于NSIS LOG文件的详细知识点: 1. **NSIS基本概念**:NSIS是一款强大的安装制作工具,它允许开发者通过编写脚本来...

    Log文件同步(支持服务器数据传输)

    8. **安全性**:在整个同步过程中,数据的加密和身份验证是必不可少的,以保护敏感信息不被未授权的访问。 9. **可扩展性**:对于多服务器环境,支持批量同步和管理多个服务器的日志文件是非常有用的。 10. **兼容...

    Laravel开发-laravel-log-viewer 非常方便的页面 Log 查看工具

    首先,`laravel-log-viewer`是一个开源项目,它允许你在浏览器中直观地浏览存储在`storage/logs`目录下的日志文件,而无需通过命令行或者文件管理器去查找和打开。这对于开发者来说,尤其是在处理多环境部署或远程...

    手机屏幕打印log日志.zip

    7. **隐私与安全**:尽管日志对调试至关重要,但其中可能包含敏感信息,如用户数据或设备信息。因此,发布到生产环境的应用应移除或匿名化日志信息,避免泄露用户隐私。 8. **第三方日志库**:除了系统自带的日志...

    load_file() 常用敏感信息.txt

    根据给定文件的信息,我们可以梳理出与`load_file()`函数相关的敏感信息及系统配置路径,主要涉及了在不同操作系统下的文件路径以及通过SQL注入时如何利用`load_file()`函数读取这些敏感文件。 ### `load_file()`...

    log-Gabor的图形显示

    然而,Gabor滤波器存在一些问题,如计算复杂度高、对参数敏感以及频域覆盖不均匀等。 **2. Log-Gabor滤波器的改进** 为了解决这些问题,Log-Gabor滤波器应运而生。其主要改进在于频谱响应的对数尺度,使得滤波器在...

    Log 封装显示和写Log

    在实际开发中,我们还需要关注日志安全性和隐私问题,确保不泄露敏感信息。此外,日志管理工具(如Log4Net、NLog等)也可以作为日志封装的参考,它们提供了丰富的特性,并且已经被广泛使用和验证。 总之,日志封装...

    Log4Net .net3.5版本

    5. **布局和转换器**:可以自定义日志信息的格式,如日期、线程ID、类名等,并可以使用转换器来改变这些信息的显示方式。 6. **异步日志**:对于性能敏感的应用,Log4Net提供异步日志记录,避免日志操作阻塞应用...

    安卓抓log工具.rar

    同时,部分工具可能还有导出功能,让你可以把log信息保存为文本文件,以便于分享给其他开发者或者上传到论坛寻求帮助。 需要注意的是,由于log信息包含设备和应用的运行状态,因此在发布log信息时应确保隐私安全。...

    log4Net 资料

    5. **安全性和隐私保护**:提供了加密和过滤功能,保护敏感信息不被泄露。 6. **兼容性广泛**:不仅适用于桌面应用程序,同样适用于Web应用、Windows服务以及ASP.NET环境。 #### 三、log4Net的配置详解 配置log4...

    android中log对象的使用

    4. `Log.w(String tag, String msg)`:WARNING级别,橙色显示,表示可能存在的问题或警告,虽然不影响程序运行,但可能需要优化。选择WARN级别时,也会显示ERROR级别的日志。 5. `Log.e(String tag, String msg)`:...

    log4j从入门到详解

    - **安全性**:敏感信息不应直接记录到日志中,以免泄露。 #### 5. Properties文件实例说明 在上述的配置文件中,我们定义了两个appender:一个用于控制台输出,另一个用于文件输出。通过这种方式,可以在不同的...

    DebugLog Log调试工具

    7. **日志打印控制**:可以根据环境(如调试或发布版本)动态开关日志输出,避免在生产环境中泄露敏感信息。 8. **性能优化**:相比原生Log,DebugLog在性能上进行了优化,减少了对应用运行的影响。 DebugLog的...

    android 在屏幕上打印log

    在Android开发过程中,调试是必不可少的一个环节,而打印日志(Log)是调试最...不过,这种做法并不适用于正式发布的产品,因为这会暴露敏感信息,并且影响用户体验。在发布前,记得移除或替换掉屏幕打印log的代码。

    log4j1.2.9jar和详解

    8. **安全性**:关于如何处理日志数据的隐私和安全,避免敏感信息泄露。 **总结** 在使用log4j1.2.9的资源时,开发者不仅可以获得实际的库文件,还能通过详尽的解释来理解和掌握如何在项目中有效利用这个强大的...

    AndroidStudio 使用log4j记录日志,按照大小定期滚动日志Demo

    在Android开发中,日志记录是一项非常重要的任务,它帮助开发者追踪应用的运行状态,调试错误,优化性能。...记得在实际应用中,合理地管理日志文件,避免占用过多存储空间,同时遵守隐私政策,不要泄露用户敏感信息。

    c/c++Log日志类

    10. **日志过滤**:允许用户设置日志过滤规则,只输出满足特定条件的日志,如仅显示指定模块的日志。 在`LOG`这个文件名中,我们可以推测这个压缩包可能包含了C++实现的一个简单日志类的源代码。这个类可能会覆盖...

    log4j入门、详解.pdf

    4. **安全考虑**:避免在日志中记录敏感信息,以免造成安全隐患。 #### 五、Properties文件实例说明 在实际开发中,我们常常需要根据不同的需求调整日志输出的配置。例如,在生产环境中可能只需要输出`ERROR`级别...

    log4Qt 支持函数名,类名

    这些级别可以用来过滤不同严重程度的信息,帮助开发者关注关键问题,同时避免过多的无关日志信息。 ### 2. **日志输出格式** `Log4Qt`允许用户自定义日志输出的格式,包括类名、函数名、线程ID、时间戳等信息。例如...

    log4net 配置使用文档

    4. **日志安全**:避免在日志中泄露敏感信息,如用户密码。 5. **测试与监控**:在开发和生产环境中,应分别配置不同的日志级别,便于调试和监控。 通过以上步骤和实践,你可以充分利用log4net的强大功能,为你的...

Magicbox
Global site tag (gtag.js) - Google Analytics