java - 如何从 .jar 中隐藏 SQL 身份验证？

Question

我有一个应用程序，所有 sql 都在客户端完成，因此用户名和密码以及所有查询都存储在应用程序本身中。

1. 这是执行此操作的方法还是仅由服务器端脚本完成查询？如果是的话怎么办？

2. 如果不是这种情况，我如何从 .jar 文件中隐藏我的 sql 详细信息？(所以不是原始文本)

谢谢!

Answer 1

方案(2)基本不可能。如果您在客户端的 JVM 中创建查询并通过网络触发这些请求，攻击者将始终能够跟踪这些查询，方法是创建他的 JVM 堆的转储，其中这些查询可能存储为 String 或通过拦截网络通信。因此，即使您将查询存储在加密文件中，用于解密这些查询的所有信息都必须与应用程序一起发送，并且最终可能会被攻击者解析。

因此，我建议您构建一个合适的后端。使用 JAX-RS 等 Web 服务，不要发送查询。 (这允许您将有效通信限制为指定数量的保存交互，而当您的用户被允许发送 SQL 时，您基本上可以做任何事情。)