在平时的开发中,通常涉及一些私密字段的保存 如用户密码等,这些字段不应把明文直接保存到数据库,如果这样万一管理员的人品出现了问题 用户资料的安全性就很难保证了;因此毫无疑问,数据库中应该 保存这些字段的密文形式,而且加密的算法应该是不可逆的,这样即使别人能获得密文和源代码 也无法得到用户密码的明文!在这里我的做法如下 :
1 在数据库中(oracle中)建立一个表,建表语句如下
建表语句
create table TEST_QJK_STU
(
ID INTEGER not null,
STUNAME VARCHAR2(20),
STUPASSWORD RAW(512)
)
2 java代码中实体bean代码如下
public class Student {
private Integer stuId;
private String name;
private Date birthday;
private String sex;
private String passport;
private byte[] password;
/*set,get方法省略*/
}
3
3加密算法的实现
public static byte[] md5EncodeToByte(String input){
MessageDigest md5;
String output=null;
try {
md5 = MessageDigest.getInstance("MD5");
md5.update(input.getBytes());
byte []theDigest=md5.digest();
output=new BASE64Encoder().encode(theDigest);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
return output.getBytes();
}
字符串123加密的结果形式为:
494379355971785A42317557537763564C534E4C63413D3D
4 用hibernate,ibatis等进行对象持久化(省略),即把实体bean对象保存到数据库
-------------------------------------------------------------------------------------------------------------------
楼主有没有想如果A用户和B用户密码一样的话, 所得到的密文就是一样的。
这样所谓的攻击者就可以注册一个用户, 密码是A, 然后到数据库, 复制这个用户的密码复盖其它用户的密码, 其它用户的密码就变成了A。
因为注意的用户名大部分的系统是不准改变的, 所以 最终密文 == HASH(密码明文, 用户名)
-----------------------------------------------------------------------------------------------------------------
上面是位朋友的回帖,觉得有点意思,及时采用明文和用户名结合的密码,如果有人通过用户名和一个常量代码生成一个密文,然后再数据库里用此密文覆盖,然后用常量作为密码登录,不一样可以访问系统吗?不知道有没有更好的办法。这样数据库的安全不是更应该引起重视吗