使用字符数组保存密码, 比使用String保存密码更好

最新推荐文章于 2021-05-19 14:38:24 发布
最新推荐文章于 2021-05-19 14:38:24 发布
阅读量138 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/hi-eric/p/9483390.html
版权

在Java 中, 使用字符数组保存密码 比使用String保存密码更好.

两点理由 :

  1. 很难从内存中清除.
    String 属于不可变对象, 他会被放到串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间.
    这时任何能够访问内存的人, 都可以很容易看到明文密码
    当然, 根本就不应该使用明文密码
  2. Java 提供 JPasswordField组件的getPassword()方法
    这是特意为密码准备的, 不用吗? 不要偷懒
  3. 在你不知道的时刻, 可能被泄露到其他地方
    比如日志中. 2018年5月 twitter 数亿用户明文密码泄露(参见这里: 3.3亿用户密码疑泄露,Twitter出现重大安全漏洞 ), 就是一个例子

转载于:https://www.cnblogs.com/hi-eric/p/9483390.html

weixin_30555515
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java 中存储密码的最佳方法是什么
allway2的博客
11-15 1252
例如,如果我们看一下javax.swing的JPasswordField,我们可以看到返回String的方法getText()自Java 2以来被弃用,取而代之的是返回char[]的getPassword()方法。正如我们所看到的,在我们尝试替换原始 String 的内容后,值保持不变,hashCode() 方法在应用程序的相同执行中没有返回不同的值,这意味着原始字符串保持不变。在本文中,我们将解释为什么我们应该使用 char[] 数组来表示密码,而不是 Java 中的字符串。我们可能会意外打印密码
Java字符串
dxy18861848756的博客
02-01 289
字符串的创建 1.直接创建 String s="hello world"; 2.使用new进行创建 String s1=new String();//此时s1为""而不是null String s2=new String("hello world"); char[] a={'h','e','l','l','o'}; String s3=new String(a);//后续对字符数组的修改不会影响字符串 String s4=new String(a,2,3);//第二个参数是开始位置,第三个参数是长度,s4
为什么使用字符数组保存密码使用String保存密码更好
swagle的专栏
04-25 2508
java中为什么不用string保存密码,而是使用字符数组来存储? 1)由于StringJava中是不可变的,如果你将密码以明文的形式保存成字符串,那么它将一直留在内存中,直到垃圾收集器把它清除。而由于字符串被放在字符串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间,而这将导致安全隐患,因为任何能够访问内存(memory dump内存转储)的人都能清晰的看到文本中的密码
为什么 char 数组比 String 更适合存储密码
Java技术栈,分享最主流的Java技术
09-09 464
推荐阅读:5 个刁钻的 String 面试题! 另一个基于 String 的棘手 Java 问题,相信我只有很少的 Java 程序员可以正确回答这个问题。 这是一个真正艰难的核心 Java 面试问题,并且需要对 String 的扎实知识才能回答这个问题。 这是最近在 Java 面试中向我的一位朋友询问的问题。 他正在接受技术主管职位的面试,并且有超过6年的经验。如果你还没有遇到过这种情况,那么字符数组和字符串可以用来存储文本数据,但是选择一个而不是另一个很难。 但正如我的朋友所说,任何与 String 相关
为什么存储密码字符数组比字符串更合适?
晚晴小筑
04-25 2198
记得这是 《java核心技术》这本书中的一句话,当时读到时也是各种疑惑。 String 的存在在很大程度上就是取代字符数组char[] ,为何又推荐密码使用字符数组保存? 我们知道,字符数组和字符串都可以用于存储文本数据。 任何与字符串相关的问题一定可以从字符串的属性里面找到线索,比如不可变性。 对于String password1 = "1q2w3e";,String实例(本...
php中将数组转成字符串并保存到数据库中的函数代码
12-19
然而,由于`eval()`的安全隐患,更好的做法可能是使用序列化(`serialize()`)和反序列化(`unserialize()`)函数来处理数组和字符串之间的转换,它们是PHP内建的、更安全的机制: ```php $array = array('key1' =>...
Java String对象使用方法详解
08-30
Java String对象使用方法详解是Java编程中一个非常重要的知识点,了解String对象的使用方法可以帮助开发者更好地编写Java程序。在Java中,String对象是不可变的,它的值一旦创建便不能改变。下面我们来详细地解释...
php数组保存文本与文本反编成数组实例
12-18
然而,对于大型或复杂的数据,更推荐使用序列化(serialize)和反序列化(unserialize)函数,它们提供了更安全且性能更好的方式来处理数组到字符串的转换。另外,如果你需要存储大量数据,考虑使用数据库或专门的...
探讨js字符串数组拼接的性能问题
12-03
反之,如果目标用户主要使用较旧版本的IE,或者处理的字符串较大或数量较多,那么采用数组的`join`方法会是更好的选择。 在实践中,我们还需要考虑代码的可读性和语义性。如果字符串连接具有明确的逻辑联系,如拼接...
c代码-字符数组学习jm
07-16
字符数组本质上是一系列连续的字符存储空间,用于保存字符序列,通常用来表示字符串。本压缩包中的"代码"资源,包括了`main.c`源文件和`README.txt`文档,旨在帮助我们深入理解C语言中的字符数组。 `main.c`文件...
密码强度(字符串数组).cpp
02-09
类别 字符串处理 时间限制 1S 内存限制 256Kb 问题描述 每个人都有很多密码,你知道你的密码强度吗?假定密码由大写字母、小写字母、数字和非字母数字的符号这四类字符构成,密码强度计算规则如下: 1. 基础分:空密码(密码长度为零)0分,非空密码1分 2. 加分项1:密码长度超过8位,+1分 3. 加分项2:密码包含两类不同字符+1分,包含三类不同字符+2分,包含四类不同字符+3分 按照此规则计算的密码强度为0~5。请你设计一个程序计算给出的密码的强度。 输入说明 输入为一个密码字符串,字符串长度不超过50个字符。 输出说明 输出一个整数表示该密码的强度。 输入样例 输入样例1 abcd 输入样例2 ab123 输出样例 样例1输出: 1 样例2输出 2
Java中的密码优先使用 char[] 而不是String
Forward__的博客
10-26 2694
由于StringJava中是不可变的,如果你将密码以明文的形式保存成字符串,那么它将一直留在内存中,直到垃圾收集器把它清除。而由于字符串被放在字符串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间,而这将导致安全隐患,因为任何能够访问内存(memory dump内存转储)的人都能清晰的看到文本中的密码,这也是为什么你应该总是使用加密的形式而不是明文来保存密码。由于字符串是不可变的,所以
Java存储密码字符数组
weixin_34377919的博客
08-03 342
字符数组和字符串都可以用于存储文本数据,但是在选择具体哪一种时,如果你没有针对具体的情况是很难回答这个问题的。但是任何与字符串相关的问题一定有线索可以在字符串的属性里面找到,比如不可变性。他就用这种方式去说服面试官。这里我们就来探讨一些关于为什么你应该使用char[] 来存储密码而不是字符串。 因为字符串是不可变对象,如果作为普通文本存储密码,那么它会一直存在内存中直至被垃圾收集器回收。因为...
简单密码检测程序
u014454620的专栏
04-02 3739
/* 实现c,对用户输入的密码进行检测, 检测正确才能执行后续程序段,否则要求用户重新输 入,输入三次错误密码后退出程序。 思路:1.定义一个字符数组接收用户输入的密码 int pass[10] 2.判断密码是否正确 strcmp(pass,"123456"),如果不正确, 判断输入次数是否>3次,如果>3次,不在判断,否则继续判断。
尽量不要使用 String 来存储密码等敏感信息
赞哈哈的博客
05-19 2327
我们通常使用一个 String 类型变量来保存用户提交的密码等敏感信息,但实际上这是不安全的做法。 从 String 类的签名可以看到,String 的对象都是不可变的,也就是说 String 对象一旦被创建就不能通过任何方法(除了使用反射)对它进行修改,直到其被垃圾回收器回收(这段时间这个 String 对象通常会存在于常量池中)。这也就意味着在 String 对象被创建到垃圾回收器对它进行回收的这段时间,一旦内存被 dump,那么密码等敏感信息将以明文的形式暴露。 另外,我们可能在编程中无意的将密码打印
但又不知道对方要输入多少个 用来储存用户输入的数据 C语言定义一个一维数组 怎么定义
10-20 3949
比如可以输入10个 然户输入 比如a【1000】 如在第一行写上:#define M 数值再定义数组:main(){int a[M];....;}这样做的好处就是以后如果有改动的话可以一改全改.只要改变define后符号常量的值就可以了. 也就是符号常量来写 a[i]);getch();}|||你应该先定义一个较大的数组 =/0;i++)printf(" use
对于一些敏感的数据(例如密码),为什么使用字符数组存储比使用String更安全?
Rosen's
12-08 1001
Java语言中,String是不可变类,它被存储在常量字符串池中,从而实现了字符串的共享,减少了内存的开支。 正因为如此,一旦一个String类型的字符串被创建出来,这个字符串就会存在于常量池中,直到被垃圾回收器回收为止。 因此,即使这个字符串(比如密码)不再被使用,它仍然会在内存中存在一段时间(只有垃圾回收器才会回收这块内容,程序员没有办法直接回收字符串)。此时有权限访问memory dump(存储器转储)的程序都可能会访问到这个字符串,从而把敏感的数据暴露出去,这是一个非常大的安全隐患。 如果使用.
购物网站数据库建表笔记
潘飞的专栏
04-03 1163
数据库建表近日学习小结
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值