mysql密码反编译_java - 如何保护MySQL用户名和密码不被反编译?

最新推荐文章于 2023-07-12 15:09:47 发布
最新推荐文章于 2023-07-12 15:09:47 发布
阅读量167 收藏
点赞数
文章标签: mysql密码反编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36214833/article/details/113212558
版权

切勿将密码硬编码到代码中。 这是最近在25个最危险的编程错误中提出的:

硬编码秘密帐户和   密码进入你的软件   非常方便 - 技术娴熟   逆向工程师。 如果密码是   所有软件都一样,   然后每个客户都变得脆弱   当密码不可避免地变成时  众所周知。 而且因为它是硬编码的,   修复是一个巨大的痛苦。

您应该将配置信息(包括密码)存储在应用程序启动时读取的单独文件中。 这是防止密码因反编译而泄漏的唯一真正方法(永远不要将其编译成二进制文件开头)。

有关此常见错误的更多信息,请阅读CWE-259文章。 本文包含更全面的定义,示例以及有关该问题的许多其他信息。

在Java中,最简单的方法之一是使用Preferences类。 它旨在存储各种程序设置,其中一些可能包括用户名和密码。

import java.util.prefs.Preferences;

public class DemoApplication {

Preferences preferences =

Preferences.userNodeForPackage(DemoApplication.class);

public void setCredentials(String username, String password) {

preferences.put("db_username", username);

preferences.put("db_password", password);

}

public String getUsername() {

return preferences.get("db_username", null);

}

public String getPassword() {

return preferences.get("db_password", null);

}

// your code here

}

在上面的代码中,您可以在显示对话框后询问用户名和密码后调用getInventoryList方法。 当您需要连接到数据库时,您可以使用getUsername和getPassword方法来检索存储的值。 登录凭据不会硬编码到您的二进制文件中,因此反编译不会带来安全风险。

重要说明:首选项文件只是纯文本XML文件。 确保采取适当的措施防止未经授权的用户查看原始文件(UNIX权限,Windows权限等)。 至少在Linux中,这不是问题,因为调用getInventoryList将在当前用户的主目录中创建XML文件,无论如何其他用户都无法读取。 在Windows中,情况可能会有所不同。

更重要的注意事项:在这个答案的评论和其他人的讨论中已经有很多关于这种情况的正确架构的讨论。 最初的问题没有真正提到使用该应用程序的上下文,所以我将讨论我能想到的两种情况。 第一种情况是使用该程序的人已经知道(并且被授权知道)数据库凭证。 第二种情况是,您(开发人员)正在尝试将数据库凭据与使用该程序的人保密。

第一种情况:用户有权知道数据库登录凭据

在这种情况下,我上面提到的解决方案将起作用。 Java getInventoryList类将以纯文本格式存储用户名和密码,但首选项文件只能由授权用户读取。 用户可以简单地打开首选项XML文件并读取登录凭据,但这不是安全风险,因为用户知道要开始的凭据。

第二种情况:尝试隐藏用户的登录凭据

这是一个更复杂的情况:用户不应该知道登录凭据,但仍然需要访问数据库。 在这种情况下,运行应用程序的用户可以直接访问数据库,这意味着程序需要提前知道登录凭据。 我上面提到的解决方案不适用于这种情况。 您可以将数据库登录凭据存储在首选项文件中,但是用户将能够读取该文件,因为它们将是所有者。 事实上,以安全的方式使用这种情况确实没有好办法。

正确案例:使用多层架构

正确的方法是在数据库服务器和客户端应用程序之间建立一个中间层,用于对单个用户进行身份验证,并允许执行一组有限的操作。 每个用户都有自己的登录凭据,但不是数据库服务器。 凭证将允许访问中间层(业务逻辑层),并且对于每个用户将是不同的。

每个用户都有自己的用户名和密码,可以在本地存储在首选项文件中,不存在任何安全风险。 这称为三层体系结构(层是数据库服务器,业务逻辑服务器和客户端应用程序)。 它更复杂,但它确实是最安全的方式来做这种事情。

基本操作顺序是:

客户端使用用户的个人用户名/密码对业务逻辑层进行身份验证。 用户名和密码是用户已知的,并且以任何方式与数据库登录凭据无关。

如果身份验证成功,则客户端向业务逻辑层发出请求,要求从数据库中获取某些信息。 例如,产品清单。 请注意,客户端的请求不是SQL查询; 它是一个远程过程调用,如getInventoryList。

业务逻辑层连接到数据库并检索所请求的信息。 业务逻辑层负责根据用户的请求形成安全的SQL查询。 应该清理SQL查询的任何参数以防止SQL注入攻击。

业务逻辑层将库存清单发送回客户端应用程序。

客户端向用户显示库存清单。

请注意,在整个过程中,客户端应用程序永远不会直接连接到数据库。 业务逻辑层接收来自经过身份验证的用户的请求,处理客户端对库存列表的请求,然后才执行SQL查询。

StevenJokes
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mysql密码忘记,恢复密码
xinke0802的专栏
11-16 718
MySql数据库密码忘记chu
mysql 密码反编译_忘记APPS密码 - EBS从数据库中反编译获取APPS密码
weixin_36387422的博客
02-07 688
1. 获取GUEST用户密码(前台用户)ERP中GUEST默认密码一般都是ORACLE该密码可以从v$CONTEXT_FILE中得到2.创建解密PACKAGECREATE OR REPLACE PACKAGE APPS.cux_fnd_web_sec AUTHID CURRENT_USERASFUNCTION encrypt (KEY IN VARCHAR2,VALUE IN VARCHA...
mysql 密码反编译_如何保护MySQL用户名密码不被反编译
weixin_42109732的博客
01-25 196
小编典典切勿将密码硬编码到您的代码中。最近在最危险的25个编程错误中提到了这一点:将机密帐户和密码硬编码到您的软件中非常方便-对于熟练的反向工程师。如果所有软件上的密码都相同,那么当不可避免地知道该密码时,每个客户都会受到攻击。而且由于它是硬编码的,因此修复起来非常痛苦。您应将配置信息(包括密码)存储在应用程序启动时读取的单独文件中。这是防止密码反编译而泄漏的唯一真实方法(切勿首先将其编译为二进...
mysql密码反编译,如何保护MySQL用户名密码不被反编译
weixin_30140399的博客
01-19 242
Java .class files can be decompiled fairly easily. How can I protect my database if I have to use the login data in the code?解决方案Never hard-code passwords into your code. This was brought up recently ...
mysql中 可逆的加密函数
最新发布
hxsln11的博客
07-12 106
总结就是 把明文加密成 key 然后你要拿着加密的 key去找明文 111显然是不对的 key是对的。
mybatis 对oracle或mysql反编译Java
08-14
标题提到的“mybatis 对oracle或mysql反编译Java类”实际上是指MyBatis的逆向工程(Reverse Engineering)功能,它能够根据数据库中的表结构自动生成对应的Java实体类(Entity)、数据访问对象(DAO)、服务接口...
mysql-connector-java-5.1.33-bin.src源码
12-16
MySQL Connector/J是MySQL数据库与Java应用程序之间的桥梁,它是一个实现了JDBC(Java Database Connectivity)标准的驱动程序,使得Java开发者可以方便地在Java应用中访问MySQL数据库。`mysql-connector-java-...
java-mongo-sql:Java与HTTP Mongo MySql和GsonJson的交互
05-19
Java开发中,数据库的交互是常见的任务,而MongoDB和MySQL是两种广泛使用的数据库系统。MongoDB是非关系型数据库(NoSQL),以其灵活性、可扩展性和高性能而著名,适合处理大量的半结构化或非结构化数据。MySQL则...
mysql_escape_string()函数用法分析
10-22
MySQL中的`mysql_escape_string()`函数是用来处理SQL查询中可能存在的特殊字符,以防止SQL注入攻击。这个函数在PHP中被广泛使用,特别是在处理用户输入的数据时,用来转义那些可能会改变查询语句含义的字符。然而,...
MyEclipse反编译class工具
01-21
然而,这些文件对于人类阅读并不友好,这时就需要使用反编译工具来将它们转换回可读的源代码形式。"MyEclipse反编译class工具"正是这样一个实用工具,它为开发者提供了便捷的方式来查看`.class`文件中的内容。 ...
将MD5加密简单数据反编译
12-09
将MD5加密简单数据反编译,简单的纯数字或少于6个的字符串已经测试时间很短。具体情况根据复杂情况而定
解密navicat保存的MYSQL密码
03-25
忘记mysql账户密码时,可以查看navicat储存在注册表里面的加密口令字符串,用该工具来还原密码 需要.net 4.5环境
MD5在线破解器
08-31
MD5在线破解器
java 破解mysql数据库密码_javamysql数据库密码配对?
weixin_35843812的博客
02-16 240
denglu.addActionListener(newActionListener(){publicvoidactionPerformed(ActionEvente){Stringa=newString(yonghu.getText());Stringb=newString(mima.getText());if("".equals(a)...denglu.addActionListener(ne...
navicat连接密码反编译
weixin_46066121的博客
04-03 597
使用【Win】+ 【R】组合快捷键,快速打开运行命令框,在打开后面键入命令:【Regedit】打开注册表编辑器文件路径:计算机\HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers\
mysql 可逆加密函数,MySQL敏感数据加密及解密
weixin_26717737的博客
03-17 569
1准备工作为了便于后面对比,将各种方式的数据集存放在不同的表中。创建原始明文数据表/* 创建原始数据表 */CREATE TABLE `f_user` (`id` int(11) NOT NULL AUTO_INCREMENT,`name` varchar(50) DEFAULT NULL,`tel` varchar(20) DEFAULT NULL,`pwd` varchar(50) DEFA...
mysql密码反编译_如何保护MySQL用户名密码不被反编译
weixin_30711223的博客
01-19 151
切勿将密码硬编码到您的代码中。最近在最危险的25个编程错误中提到了这一点:将机密帐户和密码硬编码到您的软件中非常方便-对于熟练的反向工程师。如果所有软件上的密码都相同,那么当不可避免地知道该密码时,每个客户都会受到攻击。而且由于它是硬编码的,因此修复起来非常痛苦。您应将配置信息(包括密码)存储在应用程序启动时读取的单独文件中。这是防止密码反编译而泄漏的唯一真实方法(切勿首先将其编译为二进制文件)...
简单的反编译
weixin_45442963的博客
11-14 239
如何用系统自带的工具反编译一个没有加密过的程序 首先创建一个简单的窗体程序输入正确的账号密码会显示登录成功否则则显示登录失败 接下来我们找到程序生成的.exe文件和系统中自带的 反编译工具:ildasm C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin 接下来打开程序生成的.exe文件会看到这个页面 我们打开之后发现下面会个loginBut...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值