尽量不要使用 String 来存储密码等敏感信息

最新推荐文章于 2023-12-05 09:32:09 发布
最新推荐文章于 2023-12-05 09:32:09 发布
阅读量2.2k 收藏 4
点赞数 4
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54829352/article/details/117028912
版权

我们通常使用一个 String 类型变量来保存用户提交的密码等敏感信息,但实际上这是不安全的做法。

从 String 类的签名可以看到,String 的对象都是不可变的,也就是说 String 对象一旦被创建就不能通过任何方法(除了使用反射)对它进行修改,直到其被垃圾回收器回收(这段时间这个 String 对象通常会存在于常量池中)。这也就意味着在 String 对象被创建到垃圾回收器对它进行回收的这段时间,一旦内存被 dump,那么密码等敏感信息将以明文的形式暴露。

另外,我们可能在编程中无意的将密码打印到了日志中,这也可能因为日志文件被盗取而导致敏感信息被泄露。最后,在 Java 官方文档中对基于密码的加密这部分也建议不使用 String 对象来保存密码。

那么我们该使用什么方式来保存密码这类敏感信息呢?正确的选择是使用 char 数组。因为使用数组我们能够在对敏感信息的业务逻辑处理完成后及时的将其设置为其他任何值,这样就可以清楚掉我们的密码信息。同样,如果我们无意中对密码进行了日志打印,那么 char 数组输出的也是内存地址而不是我们的敏感数据。

需要注意的是,即使使用 char 数组来保存敏感信息依然不能保证绝对的安全,因为在内存中可能还会存在这些数据的零散碎片。更加安全的做法是对保存的敏感信息进行 hash,且最好是加盐 hash,这样能够更进一步的提高信息的安全性。但不得不说,没有绝对的安全,只能更可靠的安全防护方式。

文档:https://docs.oracle.com/javase/8/docs/technotes/guides/security/crypto/CryptoSpec.html#PBEEx

clozer7
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
字符串char/string总结
坚持独立思考
11-22 1055
目录 1、cin>>读取数据时遇到空白字符(包括空格tab键和回车)作为终止字符。 2、避免的终止的解决办法 1、cin>>读取数据时遇到空白字符(包括空格tab键和回车)作为终止字符。 #include <iostream> using namespace std; int main() { char a[20]; char b[20]; cin>>a>>b; cout<<a<<b<...
Java 代码安全(一)      —— 避免用String储存敏感数据
dmv8168的博客
02-19 1251
Java 代码安全(一) —— 避免用String储存敏感数据 如果重要的数据(保存在内存中)在使用后没有及时清理,有可能会导致信息泄漏。开发人员通常都回用String 保存敏感数据(密码,卡号等)。因为String 对象是不可变的,只有 JVM 的垃圾回收器才能从内存中清除String的值。而只有内存不足的时候虚拟机才会执行垃圾回收,所以我们不能保证垃圾回收什么时候...
C++中 string 中的常用方法使用心得
08-19
主要介绍了C++中 string 中的常用方法使用心得,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Java String对象使用方法详解
08-30
主要介绍了Java String对象使用方法详解的相关资料,需要的朋友可以参考下
C++ string的用法和例子
热门推荐
@fei
08-24 18万+
使用场合: string是C++标准库的一个重要的部分,主要用于字符串处理。可以使用输入输出流方式直接进行操作,也可以通过文件等手段进行操作。同时C++的算法库对string也有着很好的支持,而且string还和c语言的字符串之间有着良好的接口。虽然也有一些弊端,但是瑕不掩瑜。 其中使用的代码多数都是来自cpp官网,因为例子非常全。 声明和初始化方法: 想使用string首先要在头文件...
C++与安全编程:编写安全的C++代码,预防常见的安全漏洞
最新发布
牛肉胡辣汤
12-05 98
这种方式可以有效地过滤不符合标准格式的输入,从而提高输入的安全性。这个示例代码可以应用于任何需要验证和过滤用户输入的场景,比如注册表单、登录凭证等。通过对输入进行验证和过滤,可以阻止恶意用户输入或错误格式的输入,从而提高应用程序的安全性。函数)来确保将输入的内容复制到一个具有足够空间的缓冲区中。这个示例代码可以应用于需要接受用户输入的任何情况,比如读取命令行参数、从文件中读取输入等。在这个示例代码中,我们使用正则表达式来验证用户输入的邮箱地址是否合法。不正确的输入验证和过滤是许多安全问题的根源之一。
char和String的区别?
A2000824的博客
04-08 6891
char只能存放单个字符,而String则是存放多个字符(字符串)。
char string 区别
ymd378362996的专栏
05-26 3万+
这一篇要讲一个非常重要的话题:char类型与string类型的区别。从字面上说,他们是有区别的   1. char是字符类型   2. string是字符串类型   虽然一字之差,但其本质是很大的。   1. char属于基础类型(C++),在C#中它属于值类型(Value Type)。char类型的长度是固定的,上一篇讲到,在C++中它可能是1个字节,或者2个字节(取决于是否为Unico
char与string
odiulzuotian的专栏
07-23 670
char数组和string字符串 一、char字符串 1、C-风格字符串:以空字符(null charater)结尾,空字符被写作\0,其ASCII码为0,用来标记字符串的结尾。 字符串的输入:单引号、双引号(字符串常量)。cin接收数据流,用空白(空格、制表符、换行符)来确定字符串结束位置,但空白符仍然留在缓冲区内。解决方式getline()、get()函数(这两个函数都是读取一行,直到遇
Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案
初阶农民工的博客
01-06 2万+
该漏洞引发情况: 将敏感数据存储String 对象中使系统无法从内存中可靠地清除数据。 如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String是所用的存储敏感数据,然而,由于String对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除String的值。除非 JVM 内存不足,否则系统不要求运...
aa.zip_string_网页信息提取
09-25
字符串提取,网页信息提取有用信息,类似于爬虫
Java switch 语句如何使用 String 参数
08-25
主要介绍了Java switch 语句如何使用 String 参数,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,,需要的朋友可以参考下
在redis中存储一个多属性对象使用String还是Hash?
01-07
参考: ...使用String : 用 user + id 作为 key , 其他属性编码为JSON,作为value存储。例如: SET user:{id} '{name:
C/C++的注意事项
m0_64144988的博客
04-20 843
1)调用LoadLibrary,LoadLibraryEx,CreateProcess,ShellExecute等进行模块加载的函数时,指明模块的完整(全)路径,禁止使用相对路径,这样就可避免从其它目录加载DLL。因此,在使用n系列拷贝函数时,要确保正确计算缓冲区长度,同时,如果你不确定是否代码在各个编译器下都能确保末尾有0时,可以适当增加1字节输入缓冲区,并将其置为\0,以保证输出的字符串结尾一定有\0。不可以用legacy的字符串拷贝、输入函数,这些函数的特征是:可以输出一长串字符串,而不限制长度。
char类型和string类型(C++,C#)
weixin_34306676的博客
06-07 652
这一篇要讲一个非常重要的话题:char类型与string类型的区别。从字面上说,他们是有区别的 1. char是字符类型 2. string是字符串类型   虽然一字之差,但其本质是很大的。 1. char属于基础类型(C++),在C#中它属于值类型(Value Type)。char类型的长度是固定的,上一篇讲到,在C++中它可能是1个字节,或者2个字节(取决于是否为Unicode Char),而...
1402:Vigenère密码
qq_42552468的博客
07-24 1579
#include&lt;iostream&gt; #include&lt;cstdio&gt; #include&lt;cstring&gt; #include&lt;string&gt; using namespace std; char s1[1000]; char s2[1000]; void turn(char &amp;x) {     if(('z'&gt;=x)&amp;&amp;(...
Java语言自身的安全性问题
Piggy and Jery 's GOLB
10-13 1767
From:http://hedong.3322.org/archives/000566.html存储/删除密码。如果密码存储在 Java String 对象中的,则直到对它进行垃圾收集或进程终止之前,密码会一直驻留在内存中。即使进行了垃圾收集,它仍会存在于空闲内存堆中,直到重用该内存空间为止。密码 String 在内存中驻留得越久,遭到窃听的危险性就越大。更糟的是,如果实际内存减少,则操
深入理解Java中的String
weixin_34117211的博客
11-18 1737
一、String类 想要了解一个类,最好的办法就是看这个类的实现源代码,来看一下String类的源码: public final class String implements java.io.Serializable, Comparable&lt;String&gt;, CharSequence { /** The value is used for charact...
java.io.Notserializableexception错误解决方法
赞哈哈的博客
06-07 9192
问题原因:没有序列化 java.io.Notserializableexception:类名 java.io.Notserializableexception:com.zan.pojo.User 解决方法: 实现Serializable接口 package com.zan.pojo; public class User implements Serializable{ private String name; private String phone; } ...
:模拟智能锁的虚位密码功能-使用string
05-19
首先,我们需要定义一个 string 类型的变量来存储密码,然后让用户输入密码。接着,我们可以将用户输入的密码与预设的密码进行比较,如果相同则让用户进入,否则提示密码错误。 以下是示例代码: ```c++ #include ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值