कमांड लाइन पर MySQL पासवर्ड का उपयोग करने का एक सुरक्षित विकल्प क्या है?

हमारे पास एक डेटाबेस कमांड करने के लिए PHP कमांड-लाइन स्क्रिप्ट है। जब भी किसी डेवलपर ने एक नया डेटाबेस पैच जोड़ा है, तो हम यह स्क्रिप्ट चलाते हैं।

स्क्रिप्ट MySQL कमांड-लाइन के साथ पैच चलाता है:

system('mysql --user=xxx --password=xxx < patch.sql');

हालाँकि, MySQL 5.6 अब निम्नलिखित चेतावनी जारी करता है:

चेतावनी: कमांड लाइन इंटरफेस पर पासवर्ड का उपयोग करना असुरक्षित हो सकता है

जो स्पष्ट रूप से सच है, लेकिन उपयोगकर्ता के लिए समस्या हो सकती है या नहीं भी हो सकती है।

• फिर सुरक्षित विकल्प क्या है ?
• वैकल्पिक रूप से, क्या इस चेतावनी को अक्षम करना संभव है?

कृपया ध्यान दें कि मुझे बाहरी पासवर्ड फ़ाइल पर निर्भर नहीं रहना है।

MySQL के हालिया GA संस्करण में, अर्थात संस्करण 5.6 , आप इसे mysql_config_editor कमांड के माध्यम से कर सकते हैं, जैसा कि http://dev.mysql.com/doc/refman/5.6/en/myshl-config-editor.html में वर्णित है

मूल रूप से यह क्या करता है: अपने उपयोगकर्ता को एन्क्रिप्ट करें / एक मेजबान उर्फ ​​के साथ क्रेडेंशियल्स पास करें, और फिर आप मेजबान उपनाम का उपयोग करें, इस जानकारी को अपने घर निर्देशिका में एक कॉन्फ़िगर फ़ाइल में डालें, और फिर, जब आपको इसकी आवश्यकता होती है, तो ऐसा कुछ करने के बजाय :

mysqldump -uroot --password=mycleartextpass mydatabase > dumpfile.sql

आप इसके बजाय लिखते हैं:

mysqldump --login-path=myhostalias mydatabase > dumpfile.sql

जिससे आपका पासवर्ड क्लियरटेक्स्ट में किसी स्क्रिप्ट में डालने से बचता है।

इसे काम करने के लिए, आपको पहले (केवल एक बार) इस myhostaliasरूप में परिभाषित करना होगा :

mysql_config_editor set --login-path=myhostalias --host=mysqlhost.localnet.com --user=root --password

आप अलग-अलग खातों और / या मेजबानों के लिए अलग-अलग लॉगिन पथ का उपयोग कर सकते हैं। बहुत अच्छा विचार है अगर आप मुझसे पूछें।

एक नोट के रूप में, मेरा मानना ​​है कि यह कार्यक्षमता 5.6 से नीचे किसी भी संस्करण में मौजूद नहीं है।

--defaults-fileया --defaults-extra-fileविकल्प का उपयोग करें । आप इसमें यूजर-आईडी और पासवर्ड निर्दिष्ट कर सकते हैं। इसका प्रारूप भी वैसा ही है /etc/my.cnf।

आगे पढ़ते हुए, आप कहते हैं कि आपको बाहरी पासवर्ड फ़ाइल पर भरोसा नहीं करना है, लेकिन यह वास्तव में सुरक्षित तरीका है। कुछ और प्रक्रिया तालिका या कुछ में निशान छोड़ देंगे। यदि आप वास्तव में चाहते हैं तो आप पासवर्ड फ़ाइल को संस्करण नियंत्रण में भी रख सकते हैं। इसे 600 (या 400) और केवल mysql या इसके द्वारा चलाए जा रहे उपयोगकर्ता द्वारा ही पढ़ा जा सकता है।

आपके पास http://dev.mysql.com/doc/refman/5.1/en/password-security-usc.html प्रति 4 विकल्प हैं

• कमांड लाइन पर -pyour_passया --password=your_passविकल्प का उपयोग करें
• कोई पासवर्ड मान निर्दिष्ट नहीं के साथ कमांड लाइन पर -pया --passwordविकल्प का उपयोग करें । इस स्थिति में, क्लाइंट प्रोग्राम संवादात्मक रूप से पासवर्ड को हल करता है:
• एक विकल्प फ़ाइल में अपना पासवर्ड स्टोर करें।
• MYSQL_PWDपर्यावरण चर में अपना पासवर्ड स्टोर करें

आपकी आवश्यकताओं के लिए, MYSQL_PWDएक विकल्प हो सकता है, लेकिन यह अधिक सुरक्षित नहीं है। वास्तव में आपको एक इंटरेक्टिव प्रक्रिया को अपनाना चाहिए --passwordऔर इंटरएक्टिव रूप से पासवर्ड सबमिट करना चाहिए , लेकिन इस समस्या के समाधान के लिए यह काफी जटिल है।

यदि आपकी PHP स्क्रिप्ट में पहले से ही एक खुला डेटाबेस कनेक्शन है, तो आप mysqli_multi_query().sql फ़ाइल को आयात करने के लिए उपयोग क्यों नहीं करते ? यदि .sql फ़ाइल का वाक्यविन्यास मान्य है, तो ...