ระงับข้อความเตือนโดยใช้ mysql จากภายใน Terminal แต่รหัสผ่านที่เขียนในสคริปต์ทุบตี

เมื่อฉันพยายามเรียกใช้คำสั่งต่อไปนี้ใน MySQL จากภายใน Terminal:

mysql -u $user -p$password -e "statement"

การดำเนินการทำงานตามที่คาดไว้ แต่จะออกคำเตือนเสมอ:

คำเตือน: การใช้รหัสผ่านบนอินเตอร์เฟสบรรทัดคำสั่งอาจไม่ปลอดภัย

อย่างไรก็ตามฉันต้องทำคำสั่งข้างต้นโดยใช้ตัวแปรสภาพแวดล้อม ( $password) ที่เก็บรหัสผ่านของฉันเพราะฉันต้องการเรียกใช้คำสั่งอย่างซ้ำ ๆ ในสคริปต์ทุบตีจากภายในเทอร์มินัลและฉันไม่ชอบความคิดในการรอให้ปรากฏขึ้น และบังคับให้ฉันใส่รหัสผ่าน 50 หรือ 100 ครั้งในสคริปต์เดียว ดังนั้นนี่คือคำถามของฉัน:

• เป็นไปได้หรือไม่ที่จะระงับคำเตือน? คำสั่งทำงานอย่างถูกต้องตามที่ระบุไว้ แต่หน้าต่างจะดูยุ่งเหยิงเมื่อฉันวนลูปและรันคำสั่ง 50 หรือ 100 ครั้ง

• ฉันควรเชื่อฟังข้อความเตือนและอย่าเขียนรหัสผ่านในสคริปต์ของฉัน? หากเป็นเช่นนั้นฉันต้องพิมพ์รหัสผ่านทุกครั้งที่ระบบพรอมต์บังคับให้ฉันทำเช่นนั้นหรือไม่

การวิ่งman mysqlไม่ได้ช่วยพูดเพียงอย่างเดียว

--show-warnings
ทำให้เกิดคำเตือนที่จะแสดงหลังจากแต่ละคำสั่งถ้ามี ตัวเลือกนี้ใช้กับโหมดการโต้ตอบและแบทช์

และไม่ได้กล่าวถึงวิธีการปิดฟังก์ชั่นหากฉันไม่ได้ทำอะไรสักอย่าง

ฉันใช้ OS X 10.9.1 Mavericks และใช้ MySQL 5.6 จาก homebrew

หากเวอร์ชันไคลเอนต์ / เซิร์ฟเวอร์ MySQL ของคุณเป็นวิธีที่ 5.6.xa เพื่อหลีกเลี่ยงข้อความคำเตือนกำลังใช้เครื่องมือmysql_config_editor :

mysql_config_editor set --login-path=local --host=localhost --user=username --password

จากนั้นคุณสามารถใช้ในเชลล์สคริปต์ของคุณ:

mysql --login-path=local  -e "statement"

แทน:

mysql -u username -p pass -e "statement"

ฉันใช้สิ่งที่ชอบ:

mysql --defaults-extra-file=/path/to/config.cnf

หรือ

mysqldump --defaults-extra-file=/path/to/config.cnf 

ที่ config.cnf ประกอบด้วย:

[client]
user = whatever
password = whatever
host = whatever

สิ่งนี้ช่วยให้คุณมีไฟล์กำหนดค่าหลายไฟล์ - สำหรับเซิร์ฟเวอร์ / บทบาท / ฐานข้อมูลที่แตกต่างกัน การใช้ ~ / .my.cnf จะอนุญาตให้คุณมีการตั้งค่าได้เพียงชุดเดียวเท่านั้น (แม้ว่าจะเป็นชุดค่าเริ่มต้นที่มีประโยชน์)

หากคุณอยู่ใน Distbian ที่ใช้ Debian และทำงานเป็น root คุณสามารถข้ามไปด้านบนและใช้ /etc/mysql/debian.cnf เพื่อเข้า ...

mysql --defaults-extra-file=/etc/mysql/debian.cnf

วิธีการหนึ่งที่สะดวก (แต่ไม่ปลอดภัยเท่ากัน) คือการใช้:

MYSQL_PWD=xxxxxxxx mysql -u root -e "statement"

โปรดทราบว่าเอกสารอย่างเป็นทางการแนะนำต่อมัน
ดู6.1.2.1 แนวทางสำหรับผู้ใช้ปลายทางสำหรับความปลอดภัยของรหัสผ่าน (คู่มือ Mysql สำหรับรุ่น 5.6) :

การจัดเก็บรหัสผ่านของคุณในMYSQL_PWDตัวแปรสภาพแวดล้อม

วิธีการระบุรหัสผ่าน MySQL ของคุณต้องได้รับการพิจารณาว่าไม่ปลอดภัยอย่างยิ่งและไม่ควรใช้ psบางเวอร์ชันมีตัวเลือกเพื่อแสดงสภาพแวดล้อมของกระบวนการที่กำลังทำงานอยู่ ในบางระบบถ้าคุณตั้งค่าMYSQL_PWDรหัสผ่านของคุณจะสัมผัสกับผู้ใช้อื่น ๆ ที่ทำงานPS แม้แต่ในระบบที่ไม่มีpsเวอร์ชันเช่นนั้นมันก็ไม่ฉลาดที่จะสมมติว่าไม่มีวิธีอื่นที่ผู้ใช้สามารถตรวจสอบสภาพแวดล้อมของกระบวนการได้

หากคุณต้องการใช้รหัสผ่านในบรรทัดคำสั่งฉันพบว่าวิธีนี้ใช้ในการกรองข้อความแสดงข้อผิดพลาดเฉพาะ:

mysqlcommand 2>&1 | grep -v "Warning: Using a password"

โดยทั่วไปแล้วจะเปลี่ยนเส้นทางข้อผิดพลาดมาตรฐานไปยังเอาต์พุตมาตรฐาน - และใช้ grep เพื่อวางทุกบรรทัดที่ตรงกับ "คำเตือน: การใช้รหัสผ่าน"

ด้วยวิธีนี้คุณสามารถดูผลลัพธ์อื่น ๆ รวมถึงข้อผิดพลาด ฉันใช้สิ่งนี้สำหรับเชลล์สคริปต์ต่างๆและอื่น ๆ

นี่คือวิธีที่ฉันได้รับ bash script สำหรับการสำรองฐานข้อมูล mysqldump ทุกวันเพื่อให้ทำงานได้อย่างปลอดภัยยิ่งขึ้น นี่คือการขยายตัวของคำตอบที่ดีของ Cristian Porta

1. ใช้mysql_config_editorเป็นครั้งแรก(มาพร้อมกับ mysql 5.6+) เพื่อตั้งค่าไฟล์รหัสผ่านที่เข้ารหัส สมมติว่าชื่อผู้ใช้ของคุณคือ "db_user" ทำงานจาก shell prompt:

   mysql_config_editor set --login-path=local --host=localhost --user=db_user --password

   มันจะถามรหัสผ่าน เมื่อคุณป้อนรหัสผ่านผู้ใช้ / รหัสผ่านจะถูกบันทึกไว้ในของคุณhome/system_username/.mylogin.cnf

   แน่นอนเปลี่ยน "system_username" เป็นชื่อผู้ใช้ของคุณบนเซิร์ฟเวอร์

2. เปลี่ยน bash script ของคุณจากสิ่งนี้:

   mysqldump -u db_user -pInsecurePassword my_database | gzip > db_backup.tar.gz

   สำหรับสิ่งนี้:

   mysqldump --login-path=local my_database | gzip > db_backup.tar.gz

ไม่มีรหัสผ่านที่เปิดเผยเพิ่มเติม

วิธีที่ง่ายที่สุดคือ

mysql -u root -pMYPASSWORD -e "show databases" 2>/dev/null

คุณยังสามารถรัน mysql_config_editor ในสคริปต์ของคุณเพื่อส่งผ่านรหัสผ่านเมื่อระบุพา ธ การล็อกอิน

expect -c "
spawn mysql_config_editor set --login-path=$mySqlUser --host=localhost --user=$mySqlUser --password
expect -nocase \"Enter password:\" {send \"$mySqlPassword\r\"; interact}
"

นี่เป็นการเริ่มเซสชันการคาดหวังซึ่งสามารถใช้ในสคริปต์เพื่อโต้ตอบกับพร้อมต์

ดูโพสต์นี้

ตกลงวิธีแก้ปัญหาโดยไม่มีไฟล์ชั่วคราวหรืออะไร:

mysql --defaults-extra-file=<(echo $'[client]\npassword='"$password") -u $user -e "statement"

มันคล้ายกับที่คนอื่น ๆ พูดถึง แต่ที่นี่คุณไม่จำเป็นต้องใช้ไฟล์จริงส่วนหนึ่งของคำสั่งนี้จะปลอมไฟล์: <(echo ...) (สังเกตว่าไม่มีที่ว่างตรงกลางของ<(

shell> mysql_config_editor set --login-path=local
     --host=localhost --user=localuser --password
Enter password: enter password "localpass" here
shell> mysql_config_editor set --login-path=remote
     --host=remote.example.com --user=remoteuser --password
Enter password: enter password "remotepass" here

หากต้องการดูสิ่งที่ mysql_config_editor เขียนลงในไฟล์. mylogin.cnf ให้ใช้คำสั่ง print:

shell> mysql_config_editor print --all
[local]
user = localuser
password = *****
host = localhost
[remote]
user = remoteuser
password = *****
host = remote.example.com

คำสั่งพิมพ์แสดงแต่ละพา ธ การล็อกอินเป็นชุดของบรรทัดที่ขึ้นต้นด้วยส่วนหัวกลุ่มที่ระบุชื่อพา ธ การล็อกอินในวงเล็บสี่เหลี่ยมตามด้วยค่าตัวเลือกสำหรับพา ธ การเข้าสู่ระบบ ค่ารหัสผ่านถูกปิดบังและไม่ปรากฏเป็นข้อความที่ชัดเจน

ดังที่แสดงโดยตัวอย่างก่อนหน้าไฟล์. mylogin.cnf สามารถมีเส้นทางเข้าสู่ระบบได้หลายเส้นทาง ด้วยวิธีนี้ mysql_config_editor ทำให้ง่ายต่อการตั้งค่า "บุคลิกภาพ" หลายตัวสำหรับเชื่อมต่อกับเซิร์ฟเวอร์ MySQL ที่แตกต่างกัน สิ่งเหล่านี้สามารถเลือกได้ตามชื่อในภายหลังโดยใช้ตัวเลือก --login-path เมื่อคุณเรียกใช้โปรแกรมไคลเอ็นต์ ตัวอย่างเช่นหากต้องการเชื่อมต่อกับเซิร์ฟเวอร์ภายในให้ใช้คำสั่งนี้:

shell> mysql --login-path=local

ในการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลให้ใช้คำสั่งนี้:

shell> mysql --login-path=remote

จากhttps://gist.github.com/nestoru/4f684f206c399894952d

# Let us consider the following typical mysql backup script:
mysqldump --routines --no-data -h $mysqlHost -P $mysqlPort -u $mysqlUser -p$mysqlPassword $database

# It succeeds but stderr will get:
# Warning: Using a password on the command line interface can be insecure.
# You can fix this with the below hack:
credentialsFile=/mysql-credentials.cnf
echo "[client]" > $credentialsFile
echo "user=$mysqlUser" >> $credentialsFile
echo "password=$mysqlPassword" >> $credentialsFile
echo "host=$mysqlHost" >> $credentialsFile
mysqldump --defaults-extra-file=$credentialsFile --routines --no-data $database

# This should not be IMO an error. It is just a 'considered best practice'
# Read more from http://thinkinginsoftware.blogspot.com/2015/10/solution-for-mysql-warning-using.html

อีกทางเลือกหนึ่งคือการใช้ sshpass เพื่อเรียกใช้ mysql เช่น:

sshpass -p topsecret mysql -u root -p username -e 'statement'

สคริปต์ที่ทำงานง่าย ๆ ตั้งชื่อ "mysql" นี้และวางไว้ในเส้นทางของคุณก่อน "/ usr / bin" ตัวแปรที่ชัดเจนสำหรับคำสั่งอื่น ๆ หรือถ้าข้อความเตือนแตกต่างกัน

#!/bin/sh

(
(
(
(
(
    /usr/bin/mysql "$@"
) 1>&9 
) 2>&1
) | fgrep -v 'mysql: [Warning] Using a password on the command line interface can be insecure.'
) 1>&2 
) 9>&1

นี่เป็นวิธีแก้ปัญหาสำหรับนักเทียบท่าในสคริปต์ / bin / sh:

นักเทียบท่า exec [MYSQL_CONTAINER_NAME] sh -c 'exec echo "[ลูกค้า]"> /root/mysql-credentials.cnf'

นักเทียบท่า exec [MYSQL_CONTAINER_NAME] sh -c 'exec echo "user = root" >> /root/mysql-credentials.cnf'

นักเทียบท่า exec

นักเทียบท่า exec

แทนที่ [MYSQL_CONTAINER_NAME] และตรวจสอบให้แน่ใจว่าตัวแปรสภาพแวดล้อม MYSQL_ROOT_PASSWORD ตั้งอยู่ในที่เก็บของคุณ

หวังว่ามันจะช่วยให้คุณชอบมันจะช่วยฉันได้!

นอกจากนี้คุณยังสามารถเปลี่ยนเส้นทางข้อผิดพลาดมาตรฐาน STDERR ไปยัง / dev / null

ดังนั้นเพียงทำ:

mysql -u $user -p$password -e "statement" 2> /dev/null

โดยส่วนตัวแล้วฉันใช้สคริปต์ wrapper เพื่อตรวจจับข้อผิดพลาดนั้น นี่คือตัวอย่างโค้ด:

#!/bin/bash

#echo $@ | cat >> /home/mysqldump.log 2>/dev/null
ERR_FILE=/tmp/tmp_mdump.err

# Execute dumper
/usr/bin/mysqldump $@ 2>$ERR_FILE

# Determine error and remove tmp file
ERROR=`cat $ERR_FILE`
rm $ERR_FILE

# Handle an error
if [ "" != "$ERROR" ]; then

        # Error occured
        if [ "Warning: Using a password on the command line interface can be insecure." != "$ERROR" ]; then
                echo $ERROR >&2
                exit 1
        fi
fi

สำหรับ PowerShell ( pwshไม่bash) นี้ก็ค่อนข้างเป็นทางออกที่บ้านนอก-โกลด์เบิร์ก ... ความพยายามครั้งแรกของฉันคือการตัดสายไปmysqlในtry/catchฟังก์ชั่น แต่เนื่องจากบางพฤติกรรมแปลกในการจัดการข้อผิดพลาด PowerShellนี้ไม่ได้ทำงาน

วิธีแก้คือแทนที่$ErrorActionPreferenceนานพอที่จะรวมและการจับภาพSTDERRและSTDOUTและแยกคำERRORและอีกครั้งจากเส้นข้างตามความจำเป็น เหตุผลที่เราไม่สามารถตรวจจับและเผยแพร่ต่อ"^mysql.*Warning.*password"ได้เนื่องจาก PowerShell จัดการและทำให้เกิดข้อผิดพลาดเป็นสตรีมเดียวดังนั้นคุณต้องรวบรวมทั้งหมดเพื่อกรองและโยนอีกครั้ง : /

Function CallMySQL() {
    # Cache the error action preference
    $_temp = $ErrorActionPreference
    $ErrorActionPreference = "Continue"

    # Capture all output from mysql
    $output = (&mysql --user=foo --password=bar 2>&1)

    # Restore the error action preference
    $ErrorActionPreference = $_temp

    if ($output -match "ERROR") {
        throw $output
    } elseif($output) {
        "   Swallowing $output"
    } else {
        "   No output"
    }
}

หมายเหตุ: PowerShell พร้อมใช้งานสำหรับ Unix ดังนั้นโซลูชันนี้เป็นข้ามแพลตฟอร์ม สามารถปรับให้เข้าbashกับการแก้ไขไวยากรณ์เล็กน้อย

คำเตือน:มีหลายกรณีที่ไม่สามารถใช้งานได้เช่นข้อความแสดงข้อผิดพลาดที่ไม่ใช่ภาษาอังกฤษหรือข้อความที่ส่งคืนคำERRORใดก็ได้ในผลลัพธ์ แต่มันก็เพียงพอที่จะกลืนคำเตือนสำหรับการโทรพื้นฐานmysqlโดยไม่ทิ้งระเบิด สคริปต์ทั้งหมด หวังว่าคนอื่นจะพบว่าสิ่งนี้มีประโยชน์

มันจะดีถ้าmysqlเพียงเพิ่มตัวเลือกในการระงับคำเตือนนี้

หากคุณใช้ Rundeck สำหรับกำหนดเวลางานของคุณหรือแพลตฟอร์มอื่น ๆ ที่คุณขอmylogin.cnfไฟล์ฉันได้ใช้รหัสเชลล์ต่อไปนี้เพื่อระบุตำแหน่งใหม่สำหรับไฟล์ก่อนดำเนินการเรียก sql:

if test -f "$CUSTOM_MY_LOGINS_FILE_PATH"; then
   chmod 600 $CUSTOM_MY_LOGINS_FILE_PATH
   export MYSQL_TEST_LOGIN_FILE="$CUSTOM_MY_LOGINS_FILE_PATH"
fi

...

result=$(mysql --login-path=production -NBA -D $schema -e "$query")

ในกรณีที่MYSQL_TEST_LOGIN_FILEเป็นตัวแปรสภาพแวดล้อมที่สามารถตั้งค่าให้เป็นเส้นทางของไฟล์ที่แตกต่างกันมากกว่าหนึ่งเริ่มต้น

สิ่งนี้มีประโยชน์อย่างยิ่งหากคุณกำลังทำงานในกระบวนการแยกและไม่สามารถย้ายหรือคัดลอกไฟล์ไปยัง$HOMEไดเรกทอรี

ดูเอกสารที่นี่

ทางออกที่ดีที่สุดคือการใช้นามแฝง:

alias [yourapp]-mysql="mysql -u root -psomepassword -P3306 -h 127.0.0.1"

ตัวอย่างใส่ไว้ในสคริปต์ของคุณ:

alias drupal-mysql="mysql -u root -psomepassword -P3306 -h 127.0.0.1"

จากนั้นในสคริปต์ของคุณเพื่อโหลดฐานข้อมูล:

drupal-mysql database_name < database_dump.sql

เพื่อเรียกใช้คำสั่ง:

drupal-mysql -e "EXEC SOMESTATEMENT;"

กำหนดผู้ช่วย:

remove-warning () {
    grep -v 'mysql: [Warning] Using a password on the command line interface can be insecure.'
}

ใช้มัน:

mysql -u $user -p$password -e "statement" 2>&1 | remove-warning

Tachaan! รหัสของคุณสะอาดและน่าอ่าน

(ทดสอบด้วยทุบตี)

โซลูชันอื่น (จากสคริปต์ตัวอย่าง):

 sed -i'' -e "s/password=.*\$/password=$pass/g" ~/.my.cnf
 mysql -h $host -u $user $db_name -e "$sql_cmd"

-i''ตัวเลือกที่อยู่ที่นี่เข้ากันได้กับระบบปฏิบัติการ Mac OS X ได้มาตรฐาน UNIX ระบบปฏิบัติการที่สามารถใช้ตรง-i

ปัญหาที่ฉันมีคือการใช้ผลลัพธ์ในเงื่อนไขในสคริปต์ทุบตี

นี่ไม่ใช่ความหรูหรา แต่ในนักเทียบท่า env สิ่งนี้ไม่สำคัญ โดยพื้นฐานแล้วสิ่งนี้จะไม่สนใจผลลัพธ์ที่ไม่ได้อยู่ในบรรทัดสุดท้าย คุณสามารถทำคล้ายกับ awk และเปลี่ยนเพื่อกลับทั้งหมดยกเว้นบรรทัดแรกเป็นต้น

นี่จะส่งคืนบรรทัดสุดท้ายเท่านั้น

mysql -u db_user -pInsecurePassword my_database ... | sed -e '$!d'

จะไม่ระงับข้อผิดพลาด แต่จะทำให้แน่ใจว่าคุณสามารถใช้ผลลัพธ์ของแบบสอบถามในสคริปต์ทุบตี

วิธีที่ง่ายที่สุด:

mysql -u root -p YOUR_DATABASE

ป้อนสิ่งนี้และคุณจะต้องพิมพ์รหัสผ่านของคุณ

หมายเหตุ: ใช่โดยไม่มีเครื่องหมายอัฒภาค

คุณสามารถดำเนินการ mySQL และระงับคำเตือนและข้อความแสดงข้อผิดพลาดโดยใช้ / dev / null ตัวอย่างเช่น:

# if you run just a SQL-command
mysql -u ${USERNAME} -p${PASSWORD} -h ${HOST} ${DATABASE} -e "${STATEMENT}" &> /dev/null

# Or you can run SQL-script as a file
mysql -u ${USERNAME} -p${PASSWORD} -h ${HOST} ${DATABASE} < ${FILEPATH} &> /dev/null

ที่ไหน:

${USERNAME} - existing mysql user

${PASSWORD} - password

${HOST}     - ip or hostname, for example 'localhost'

${DATABASE} - name of database

${STATEMENT}- SQL command

${FILEPATH} - Path to the SQL-script

สนุก!

มันใช้งานได้สำหรับฉัน - เพิ่งเพิ่ม2> nullหลังจาก$(mysql_command)นั้นและจะระงับข้อผิดพลาดและข้อความเตือนเท่านั้น