Sì, è possibile che contenga informazioni sensibili. Molto dipende da ciò che consideri "sensibile". Che l'indirizzo IP 123.123.123.123 acceda a www.hotpron.xxx alle 19:00 di domenica non contenga informazioni identificative dell'utente ma potrebbe essere estremamente sensibile a qualcuno.
La normale registrazione fornita da Apache registrerà solo
- Ottieni variabili
- tutti i cookie che includi esplicitamente nel formato di registro
Registrerà anche i nomi utente utilizzati per l'autenticazione dal webserver (piuttosto che il codice stesso) tramite le aggiunte di mod_auth. Anche in questo caso è configurabile.
E il registro degli errori conterrà qualsiasi cosa la tua applicazione scelga di scriverle.
È possibile farlo registrare anche le variabili POST usando (ad esempio) mod_security - ma questo è più coinvolto.
Generalmente la maggior parte delle persone considera la pratica molto scorretta passare i token di autenticazione (nomi utente, password, identificatori di sessione) tramite variabili GET.