Подавлять предупреждающие сообщения, используя mysql из терминала, но пароль написан в скрипте bash

Когда я попытался запустить следующую команду на MySQL из терминала:

mysql -u $user -p$password -e "statement"

Выполнение работает как положено, но всегда выдает предупреждение:

Предупреждение. Использование пароля в интерфейсе командной строки может быть небезопасным.

Тем не менее, я должен выполнить вышеупомянутое утверждение, используя переменную окружения ( $password), в которой хранится мой пароль, потому что я хочу выполнить команду итеративно в скрипте bash из терминала, и мне определенно не нравится идея ожидания появления подсказки и заставляет меня вводить пароль 50 или 100 раз в одном скрипте. Итак, вот мой вопрос:

• Возможно ли подавить предупреждение? Команда работает правильно, как я уже говорил, но окно становится довольно грязным, когда я повторяю цикл и запускаю команду 50 или 100 раз.

• Должен ли я подчиниться предупреждающему сообщению и НЕ записывать свой пароль в свой сценарий? Если это так, то должен ли я вводить свой пароль каждый раз, когда приглашение заставляет меня сделать это?

Бег man mysqlне помогает, говоря только

--show-warnings
Приводит к выводу предупреждений после каждого оператора, если они есть. Этот параметр применяется к интерактивному и пакетному режимам.

и ничего не упоминает о том, как отключить функционал, если я что-то не упустил.

Я на OS X 10.9.1 Mavericks и использую MySQL 5.6 от homebrew.

Если ваша клиент-серверная версия MySQL 5.6.xa, чтобы избежать сообщения ПРЕДУПРЕЖДЕНИЕ, используйте инструменты mysql_config_editor :

mysql_config_editor set --login-path=local --host=localhost --user=username --password

Затем вы можете использовать в своем сценарии оболочки:

mysql --login-path=local  -e "statement"

Вместо того:

mysql -u username -p pass -e "statement"

Я использую что-то вроде:

mysql --defaults-extra-file=/path/to/config.cnf

или

mysqldump --defaults-extra-file=/path/to/config.cnf 

Где config.cnf содержит:

[client]
user = whatever
password = whatever
host = whatever

Это позволяет вам иметь несколько конфигурационных файлов - для разных серверов / ролей / баз данных. Использование ~ / .my.cnf позволит вам иметь только один набор конфигурации (хотя это может быть полезным набором значений по умолчанию).

Если вы работаете в дистрибутиве на основе Debian и работаете от имени пользователя root, вы можете пропустить вышеупомянутое и просто использовать /etc/mysql/debian.cnf, чтобы войти ...:

mysql --defaults-extra-file=/etc/mysql/debian.cnf

Один из методов, который удобен (но в равной степени небезопасен), заключается в использовании:

MYSQL_PWD=xxxxxxxx mysql -u root -e "statement"

Обратите внимание, что официальные документы рекомендуют против этого.
См. 6.1.2.1 Руководство для конечного пользователя по защите паролем (Mysql Manual для версии 5.6) :

Хранение вашего пароля в MYSQL_PWDпеременной окружения

Этот метод указания вашего пароля MySQL должен считаться крайне небезопасным и не должен использоваться. Некоторые версии ps включают опцию для отображения среды запущенных процессов. В некоторых системах, если вы установили MYSQL_PWD, ваш пароль доступен любому другому пользователю, который запускает ps . Даже в системах без такой версии ps неразумно предполагать, что нет других методов, с помощью которых пользователи могут исследовать среды процессов.

Если вы хотите использовать пароль в командной строке, я обнаружил, что это работает для фильтрации конкретного сообщения об ошибке:

mysqlcommand 2>&1 | grep -v "Warning: Using a password"

Это в основном перенаправление стандартной ошибки на стандартный вывод - и использование grep для удаления всех строк, которые соответствуют «Предупреждение. Использование пароля».

Таким образом, вы можете увидеть любой другой вывод, включая ошибки. Я использую это для различных сценариев оболочки и т. Д.

Вот как я получил мой bash-скрипт для ежедневного резервного копирования базы данных mysqldump для более безопасной работы. Это расширение великого ответа Кристиана Порта.

1. Сначала используйте mysql_config_editor (поставляется с mysql 5.6+) для настройки зашифрованного файла паролей. Предположим, ваше имя пользователя "db_user". Запуск из командной строки:

   mysql_config_editor set --login-path=local --host=localhost --user=db_user --password

   Он запрашивает пароль. После того, как вы введете его, пользователь / пароль сохранятся в зашифрованном виде в вашемhome/system_username/.mylogin.cnf

   Конечно, измените «system_username» на ваше имя пользователя на сервере.

2. Измените ваш bash скрипт из этого:

   mysqldump -u db_user -pInsecurePassword my_database | gzip > db_backup.tar.gz

   к этому:

   mysqldump --login-path=local my_database | gzip > db_backup.tar.gz

Нет больше открытых паролей.

Самый простой способ

mysql -u root -pMYPASSWORD -e "show databases" 2>/dev/null

Вы также можете запустить mysql_config_editor в своем скрипте, чтобы передать пароль при указании пути входа

expect -c "
spawn mysql_config_editor set --login-path=$mySqlUser --host=localhost --user=$mySqlUser --password
expect -nocase \"Enter password:\" {send \"$mySqlPassword\r\"; interact}
"

Это запускает ожидаемый сеанс, который можно использовать в сценариях для взаимодействия с подсказками.

Смотрите этот пост

хорошо, решение без временных файлов или чего-либо:

mysql --defaults-extra-file=<(echo $'[client]\npassword='"$password") -u $user -e "statement"

это похоже на то, что упоминали другие, но здесь вам не нужен фактический файл, эта часть команды подделывает файл: <(echo ...) (обратите внимание, что в середине нет места<(

shell> mysql_config_editor set --login-path=local
     --host=localhost --user=localuser --password
Enter password: enter password "localpass" here
shell> mysql_config_editor set --login-path=remote
     --host=remote.example.com --user=remoteuser --password
Enter password: enter password "remotepass" here

Чтобы увидеть, что mysql_config_editor записал в файл .mylogin.cnf, используйте команду print:

shell> mysql_config_editor print --all
[local]
user = localuser
password = *****
host = localhost
[remote]
user = remoteuser
password = *****
host = remote.example.com

Команда print отображает каждый путь входа в систему в виде набора строк, начинающихся с заголовка группы, указывающего имя пути входа в квадратных скобках, за которым следуют значения параметров для пути входа в систему. Значения пароля маскируются и не отображаются в виде открытого текста.

Как показано в предыдущих примерах, файл .mylogin.cnf может содержать несколько путей входа в систему. Таким образом, mysql_config_editor позволяет легко настроить несколько «личностей» для подключения к различным серверам MySQL. Любой из них можно будет выбрать по имени позже, используя опцию --login-path, когда вы вызываете клиентскую программу. Например, чтобы подключиться к локальному серверу, используйте эту команду:

shell> mysql --login-path=local

Чтобы подключиться к удаленному серверу, используйте эту команду:

shell> mysql --login-path=remote

С https://gist.github.com/nestoru/4f684f206c399894952d

# Let us consider the following typical mysql backup script:
mysqldump --routines --no-data -h $mysqlHost -P $mysqlPort -u $mysqlUser -p$mysqlPassword $database

# It succeeds but stderr will get:
# Warning: Using a password on the command line interface can be insecure.
# You can fix this with the below hack:
credentialsFile=/mysql-credentials.cnf
echo "[client]" > $credentialsFile
echo "user=$mysqlUser" >> $credentialsFile
echo "password=$mysqlPassword" >> $credentialsFile
echo "host=$mysqlHost" >> $credentialsFile
mysqldump --defaults-extra-file=$credentialsFile --routines --no-data $database

# This should not be IMO an error. It is just a 'considered best practice'
# Read more from http://thinkinginsoftware.blogspot.com/2015/10/solution-for-mysql-warning-using.html

Другой альтернативой является использование sshpass для вызова mysql, например:

sshpass -p topsecret mysql -u root -p username -e 'statement'

Простой трудоемкий скрипт. Назовите этот «mysql» и поместите его на вашем пути перед «/ usr / bin». Очевидные варианты для других команд, или, если текст предупреждения отличается.

#!/bin/sh

(
(
(
(
(
    /usr/bin/mysql "$@"
) 1>&9 
) 2>&1
) | fgrep -v 'mysql: [Warning] Using a password on the command line interface can be insecure.'
) 1>&2 
) 9>&1

Вот решение для Docker в сценарии / bin / sh:

docker exec [MYSQL_CONTAINER_NAME] sh -c 'exec echo "[клиент]"> /root/mysql-credentials.cnf'

docker exec [MYSQL_CONTAINER_NAME] sh -c 'exec echo "user = root" >> /root/mysql-credentials.cnf'

docker exec [MYSQL_CONTAINER_NAME] sh -c 'exec echo "password = $ MYSQL_ROOT_PASSWORD" >> /root/mysql-credentials.cnf'

docker exec [MYSQL_CONTAINER_NAME] sh -c 'exec mysqldump --defaults-extra-file = / root / mysql-credentials.cnf --all-database'

Замените [MYSQL_CONTAINER_NAME] и убедитесь, что в вашем контейнере установлена ​​переменная среды MYSQL_ROOT_PASSWORD.

Надеюсь, это поможет вам, как это может помочь мне!

Вы также можете просто перенаправить стандартный вывод ошибки STDERR в / dev / null

Так что просто сделайте:

mysql -u $user -p$password -e "statement" 2> /dev/null

Лично я использую скрипт-обертку, чтобы поймать эту ошибку. Вот пример кода:

#!/bin/bash

#echo $@ | cat >> /home/mysqldump.log 2>/dev/null
ERR_FILE=/tmp/tmp_mdump.err

# Execute dumper
/usr/bin/mysqldump $@ 2>$ERR_FILE

# Determine error and remove tmp file
ERROR=`cat $ERR_FILE`
rm $ERR_FILE

# Handle an error
if [ "" != "$ERROR" ]; then

        # Error occured
        if [ "Warning: Using a password on the command line interface can be insecure." != "$ERROR" ]; then
                echo $ERROR >&2
                exit 1
        fi
fi

Для PowerShell ( pwshне bash), это было решение rube-goldberg ... Моей первой попыткой было обернуть вызовы mysqlвtry/catch функцию, но из-за некоторого странного поведения в обработке ошибок PowerShell это было нежизнеспособным.

Решение состояло в том, чтобы переопределить $ErrorActionPreferenceтолько достаточно долго, чтобы объединить и захватить STDERRи STDOUTи проанализировать слово ERRORи перебросить по мере необходимости. Причина, по которой мы не смогли поймать и выпустить, "^mysql.*Warning.*password"заключается в том, что PowerShell обрабатывает и выдает ошибку как один поток, поэтому вы должны захватить ее все для фильтрации и повторного выброса. : /

Function CallMySQL() {
    # Cache the error action preference
    $_temp = $ErrorActionPreference
    $ErrorActionPreference = "Continue"

    # Capture all output from mysql
    $output = (&mysql --user=foo --password=bar 2>&1)

    # Restore the error action preference
    $ErrorActionPreference = $_temp

    if ($output -match "ERROR") {
        throw $output
    } elseif($output) {
        "   Swallowing $output"
    } else {
        "   No output"
    }
}

Примечание: PowerShell доступен для Unix, поэтому данное решение является кроссплатформенным. Это может быть адаптировано bashс некоторыми незначительными изменениями синтаксиса.

Предупреждение: существуют десятки крайних случаев, когда это не сработает, таких как неанглийские сообщения об ошибках или операторы, которые возвращают слово в ERRORлюбом месте вывода, но этого было достаточно, чтобы проглотить предупреждение для основного вызоваmysql без бомбардировки весь сценарий. Надеюсь, другие найдут это полезным.

Было бы неплохо, если бы mysqlпросто добавили опцию подавления этого предупреждения.

Если вам случится использовать Rundeck для планирования ваших задач или любую другую платформу, где вы запрашиваете mylogin.cnfфайл, я успешно использовал следующий код оболочки, чтобы указать новое местоположение файла перед продолжением вызовов sql:

if test -f "$CUSTOM_MY_LOGINS_FILE_PATH"; then
   chmod 600 $CUSTOM_MY_LOGINS_FILE_PATH
   export MYSQL_TEST_LOGIN_FILE="$CUSTOM_MY_LOGINS_FILE_PATH"
fi

...

result=$(mysql --login-path=production -NBA -D $schema -e "$query")

Где MYSQL_TEST_LOGIN_FILEпеременная окружения, для которой можно задать путь к файлу, отличному от пути по умолчанию.

Это особенно полезно, если вы работаете в разветвленном процессе и не можете перемещать или копировать файлы в $HOMEкаталог.

Смотрите документацию здесь.

Лучшее решение - использовать псевдоним:

alias [yourapp]-mysql="mysql -u root -psomepassword -P3306 -h 127.0.0.1"

Например, поместите это в ваш скрипт:

alias drupal-mysql="mysql -u root -psomepassword -P3306 -h 127.0.0.1"

затем в вашем скрипте для загрузки базы данных:

drupal-mysql database_name < database_dump.sql

запустить заявление:

drupal-mysql -e "EXEC SOMESTATEMENT;"

Определите помощника:

remove-warning () {
    grep -v 'mysql: [Warning] Using a password on the command line interface can be insecure.'
}

Используй это:

mysql -u $user -p$password -e "statement" 2>&1 | remove-warning

Tachaan! Ваш код чистый и приятный для чтения

(проверено с помощью bash)

Другое решение (например, из скрипта):

 sed -i'' -e "s/password=.*\$/password=$pass/g" ~/.my.cnf
 mysql -h $host -u $user $db_name -e "$sql_cmd"

-i''Вариант здесь для совместимости с Mac OS X. Стандартные UNIX операционки можно использовать прямой-i

Проблема, с которой я столкнулся, заключалась в использовании вывода в условном выражении в bash-скрипте.

Это не элегантно, но в доке env это действительно не имеет значения. В основном все, что это делает, это игнорирует вывод, который находится не в последней строке. Вы можете сделать то же самое с awk, и изменить, чтобы вернуть все, кроме первой строки и т. Д.

Это возвращает только последнюю строку

mysql -u db_user -pInsecurePassword my_database ... | sed -e '$!d'

Это не подавит ошибку, но убедится, что вы можете использовать вывод запроса в скрипте bash.

Самый простой способ:

mysql -u root -p YOUR_DATABASE

Введите это, и вам нужно будет ввести свой пароль.

Примечание: Да, без точки с запятой.

Вы можете выполнить mySQL и подавить предупреждения и сообщения об ошибках, используя / dev / null, например:

# if you run just a SQL-command
mysql -u ${USERNAME} -p${PASSWORD} -h ${HOST} ${DATABASE} -e "${STATEMENT}" &> /dev/null

# Or you can run SQL-script as a file
mysql -u ${USERNAME} -p${PASSWORD} -h ${HOST} ${DATABASE} < ${FILEPATH} &> /dev/null

Куда:

${USERNAME} - existing mysql user

${PASSWORD} - password

${HOST}     - ip or hostname, for example 'localhost'

${DATABASE} - name of database

${STATEMENT}- SQL command

${FILEPATH} - Path to the SQL-script

наслаждаться!

Это сработало для меня - только что добавлено 2> nullпосле $(mysql_command), и будет подавлять только сообщения об ошибках и предупреждениях.