Question

如果遇到异常，我们会向ColdFusion MX7发送一封电子邮件给开发团队，其中包含各种数据范围的转储，包括表单结构。

除了用户登录时出现错误外，这对调试很有用。我们最终打印出密码。

所以，问题是，有没有办法修改CFDUMP文件，以便从表单对象中过滤掉密码值？

当然，我们可以将它放在发送电子邮件的相同代码中，但是将它放在CFDUMP文件中是理想的，这样我们就不必担心它会出现在其他位置。

我找到了CFDUMP文件，它似乎是二进制的，所以我猜我们不能这样做。

Answer 1

您可以将dump.cfm文件复制到dumporiginal.cfm，然后创建一个名为dumporiginal.cfm的新dump.cfm。

<!--- 
  So that it won't execute twice if you 
  have a closing slash (<cfdump ... />) 
---> 
<cfif thisTag.executionMode neq "start">
  <cfexit method="exitTag" />
</cfif>


<!--- 
  defaults for optional attributes, taken from the docs 
  http://livedocs.adobe.com/coldfusion/8/htmldocs/Tags_d-e_08.html
--->
<cfparam name="attributes.expand" default="yes" />
<cfparam name="attributes.format" default="html" />     
<cfparam name="attributes.hide" default="all" />     
<cfparam name="attributes.keys" default="9999" />     
<cfparam name="attributes.label" default="" />      
<cfparam name="attributes.metainfo" default="yes" />     
<cfparam name="attributes.output" default="browser" />     
<cfparam name="attributes.show" default="all" />     
<cfparam name="attributes.showUDFs" default="yes" />     
<cfparam name="attributes.top" default="9999" />     

<!--- Hide the password, but store its value to put it back at the end --->
<cfif isStruct(attributes.var) and structKeyExists(attributes.var, 'password')>
  <cfset originalPassword = attributes.var.password />
  <cfset attributes.var.password = "{hidden by customized cfdump}"/>
</cfif>   

<!--- 
   Call the original cfdump. 
   Which attributes you pass depends on CF version. 
--->              
<cfswitch expression="#listFirst(server.coldfusion.productVersion)#">
<cfcase value="6">
  <cfdumporiginal 
      var = "#attributes.var#"
      expand = "#attributes.expand#" 
      hide = "#attributes.hide#"
      label = "#attributes.label#"
      >
</cfcase>
<cfcase value="7">
  <cfdumporiginal 
      var = "#attributes.var#"
      expand = "#attributes.expand#" 
      hide = "#attributes.hide#"
      label = "#attributes.label#"
      top = "#attributes.top#"
      >
</cfcase>  
<cfdefaultcase>     
  <cfdumporiginal 
      var = "#attributes.var#"
      expand = "#attributes.expand#" 
      format = "#attributes.format#"
      hide = "#attributes.hide#"
      keys = "#attributes.keys#"
      label = "#attributes.label#"
      metainfo = "#attributes.metainfo#"
      output = "#attributes.output#"
      show = "#attributes.show#"
      showUDFs = "#attributes.showUDFs#"
      top = "#attributes.top#"
      >
</cfdefaultcase>
</cfswitch>

<!--- Restore the password, in case it's read after cfdump call ---> 
<cfif isDefined("originalPassword")>
  <cfset attributes.var.password = originalPassword />
</cfif>

Answer 2

不，我认为没有办法修改<cfdump>的行为。显然，我无法确定。它是可想象的这样的黑客存在，虽然它不一定值得推荐。

为什么不采用简单的方法：

<cftry>
  <cfset DoSomethingThatFails()>

  <cfcatch>
    <cfif StructKeyExists(FORM, "Password")>
      <cfset FORM.Password = "***">
    </cfif>
    <cfdump var="#FORM#">
  </cfcatch>
</cftry>

Answer 3

CFDUMP在CF5时代开始作为自定义标签（CF_DUMP）的生命。您始终可以获取该自定义标记的代码并根据需要进行修改，然后使用该标记而不是内置标记。

Answer 4

只是密码是显示的问题吗？如果是这样，也许解决方案是盐/哈希密码？无论如何，我认为这是一种很好的做法。

http://blog.mxunit.org/2009/06/look-ma-no-password-secure-hashing-in.html

CFDUMP标签是否可修改？

4 个答案: