Re: Proposed patch to disallow password=foo in database name parameter
В списке pgsql-patches по дате отправления:
| От | Joshua D. Drake |
|---|---|
| Тема | Re: Proposed patch to disallow password=foo in database name parameter |
| Дата | |
| Msg-id | 475E0341.7080300@commandprompt.com обсуждение исходный текст |
| Ответ на | Re: Proposed patch to disallow password=foo in database name parameter (Tom Lane <tgl@sss.pgh.pa.us>) |
| Список | pgsql-patches |
Tom Lane wrote: > "Joshua D. Drake" <jd@commandprompt.com> writes: >> Tom Lane wrote: >>> As of PG 8.3, libpq allows a conninfo string to be passed in via the >>> dbName parameter of PQsetdbLogin. > >> I didn't even know we could do that. I always use the shell variable >> option instead. Does anyone actually use the facility? > > Well, not yet, because it's new in 8.3 ... Yeah, let's not do that. Like you said, "While we cannot absolutely prevent client apps from doing stupid things, it seems like it might be a good idea to prevent passwords from being passed in through dbName. " To me... this is something that if we allow, people will use it, and we will end up removing it, realizing it is a bad idea. There are plenty of other ways to pass the password in a more sane way. Sincerely, Joshua D. Drake > > regards, tom lane >
В списке pgsql-patches по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера