- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
正如标题所说,我正在寻找一种方法来使用 char[] 数组来建立 JDBC 连接,而不是从 char[] 数组创建一个新的 String 对象并使用它来建立连接。
因为 char[] 数组是 more secure than Strings in java ,我一直想在处理我的 JPasswordFields 时尽可能保证安全。
在这种特殊情况下,我使用 JPasswordField 的 char[] 数组内容并尝试建立与数据库的 JDBC 连接。它工作得很好,但我必须从 char[] 数组创建一个新的 String 对象才能实际调用 getConnection 方法。
有什么方法可以至少确保这样做的安全性,还是我只是被迫创建 String 对象并继续在方法中使用它?
这是我的代码:
/**
* Construct a new DataManager object with it's own
* connection to the database.
*
* @param ipAddress The IP address to the server on which MySQL is running.
* @param port The port to use when connecting to MySQL.
* @param databaseName The database name of the database to connect to.
* @param username The username for a MySQL account with access to the specified database.
* @param password The password for the MySQL account specified by the specified username.
*/
public DataManager(final String ipAddress, final String port, final String databaseName, final String username, final char[] password) throws ClassNotFoundException, IllegalAccessException, InstantiationException, SQLException {
Class.forName("com.mysql.jdbc.Driver").newInstance();
String url = "jdbc:mysql://" + ipAddress + ":" + port + "/" + databaseName + "?noAccessToProcedureBodies=true"; //?noAccessToProcedureBodies=true is required for using the stored procedures.
dbConnection = DriverManager.getConnection(url, username, new String(password));
}
抱歉格式问题,但行有点长而且会换行。
Here's the Java docs for the DriverManager class我正在使用。我检查过,似乎没有使用 char[]
代替 String
的方法,这就是促使这篇文章出现的原因。
感谢任何帮助/提示。
最佳答案
正如@DavidS 在评论中所说,我不确定使用 char[] 是否真的以有意义的方式更安全,但我确实深入研究了 DriverManager
source 看看是否可以使用。
如果你看the getConnection()
method you're using您会看到它(以及其他参数变体)正在收集 java.util.Properties
中提供的所有连接信息。 ,它本质上是一个 String->String 哈希表。 Properties 对象则为 passed to the needed driver在被定义为长期存在的一部分的方法上(因此不太可能改变)java.sql.Driver interface ,任何明显依赖于驱动程序的实现。
那时我认为你必须自动假设某个地方的某个人会复制提供的密码字符串或将其包含在更大字符串的组合中,因此你不能依赖反射返回并清除该缓冲区。例如,在 PostgreSQL JDBC 驱动程序中,根据您的身份验证设置,密码可能只是 sitting out as an encoded byte[]甚至消化它的设置仍然可能(我没有看得太广泛,我不是想在这里敲 PostgreSQL)让那个摘要开放被挖掘。
即使没有人复制过密码字符串并且摘要是完全不可触及的,您仍然需要担心这样一个事实,即在您的驱动程序堆栈中(通过 Properties 对象)存在对它的悬空引用,事情可能会以意想不到的方式崩溃。
不管是好是坏,我认为我们目前非常致力于将数据库密码存储为字符串,但我真的不认为这是一个大问题。我不认为历史经验表明,与垃圾收集器相比,程序员更容易安全地管理敏感对象的生命周期。如果 Java 为我们提供了一种方法来将对象注释为更积极的修剪目标,那就太好了,但也可能不是必需的。
就在写这篇文章时,我不得不经历大约 8 级方法调用和对象创建,所以我想知道密码字符串是否真的足够短暂,以至于能够手动删除它会显着减少攻击面。我认为 Java 数据库处理的人体工程学带来的便利让我们忘记了幕后发生的事情。
关于java - 使用 char 数组而不是 String 建立数据库连接的问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31280729/
我正在尝试使用 Excel 中的间接函数来构建公式以在另一张纸上返回值。 在工作表 A 单元格 D3 的值为 B 我想使用值 B 从名为 App Summary 的工作表中的单元格 B6 返回一个值。
我目前正在使用 LumiSoft 的 SIP 堆栈,并且能够在我的 FreePBX 盒子上成功注册分机并调用另一个软电话。我现在需要做的就是通过调用流式传输 WAV 文件(或 RAW,或任何可行的文件
这个问题已经有答案了: How can I fix 'android.os.NetworkOnMainThreadException'? (65 个回答) 已关闭 8 年前。 我有一个安卓 Activ
我正在使用 ws npm 在服务器端,websocket 在客户端。 从 node-js 运行此代码时它工作正常,但从浏览器运行它会出现以下错误: failed: Error in connectio
当我将鼠标悬停在想要淡入和淡出的内容上多次时,它就会不断重复。即使我停止悬停它。我怎样才能阻止这个? $(".featured").hover(function(){ $(this).find
我需要建立一个 mysql 连接并取回一些数据。我可以使用此代码在 Java 中执行此操作 try{ String username;
不能制造愚蠢。具有下一个文件夹结构: /flint/double-conversion/src /燧石/愚蠢/愚蠢/ 其中/flint/folly 包含自述文件和许可证。作为in the readme
我想在编译主单元之前在程序集中嵌入本地引用。但书面目标不起作用。 WithMetadataValue( 'CopyLocal', 'true' )->Met
我不是软件专家,但我确实需要一些建议。 我正在编写一个 C 程序(在下面剪切/粘贴)以通过 LAN(以太网)建立从我的 Mac Pro 到位于它旁边的基于 Windows XP 的测试仪器的 TCP
我正在构建一个应用程序,我的手机经常将数据发送到我的服务器。由于我将使用我的移动数据,我想知道建立(和拆除?)到我的服务器的 TCP 连接需要多少数据。 最佳答案 TCP 三向握手 Device 1
我有一个带有登录表单的网站。当加载登录表单页面时,我创建一个新的 PDO 对象以查看连接是否正常工作。如果成功打开连接,查看者将看到一个登录表单。如果不成功,他们会收到一条消息,说明服务器已关闭。 然
构建我的Electron应用程序后,它将显示产品名称undefined。如何设置其他名称呢? 当前是这样的: 最佳答案 请尝试此操作。引用此链接 https://www.electronjs.org/
我有一个项目在哪里使用这个 jar 。 据我所知...发生 war 之后,文件夹WEB-INF/lib必须具有: mail-1.4.1.jar activation-1.1.jar mysql-con
代码: %{ #include #include #include #include "gener.h" #include "sym_tab.h" #include "scope.h" #inc
我需要将侧边栏小部件集成到我的高流量页面(称为SiteA)中。该小部件应包含我的其他页面之一(称为 SiteB)的最新文章。 在我看来,我有两种可能的解决方案。 SiteA 上的 cUrl 调用从 S
我正在尝试建立 Cortana 技能,以便能够使用 Surface 相机拍照。怎么做?目前我的技能是能够使用bot框架和使用nodejs来回答问题。代码看起来像 bot.dialog('ScanCar
这个问题在这里已经有了答案: Resolving javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExce
当我与网络服务器建立 https 连接时出现 SSLProtocolException。我只在 Android 2.3 Gingebread 中有这个异常(exception);相同的代码在所有其他
我想做的是指定几个端口,然后检查它们是否已建立连接。我找到了以下脚本并运行了,但它只列出了 3 个端口,我不明白为什么。我验证了相关端口的事件规则(以及下面输出中未列出的许多其他端口)。 Set ob
使用 MySQL 我试图使用已经上传到数据库中的数据建立一对多关系。举个例子,假设我在一个表中有一个名字列表,我想将它们连接到一个他们去过的地方的列表。显然 1 个人可以去很多不同的地方,但我在设置时
我是一名优秀的程序员,十分优秀!