JSP连接数据库的配置信息如何存放会比较安全呢? RT.. 大家多给宝贵意见哈! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 直接用中间件自带的数据库连接池。Web应用的配置文件中就不要再有数据库配置信息了,只有连接池名字即可。 DEAR MICHAEL: 连接池的那个XML可以被轻松解密啊 欲闻其详:http://gustlik.wordpress.com/2008/08/06/decryption-of-configuration-passwords-in-weblogic/ 楼主啊。本来这类问题的安全性,就不是靠加密本身解决的。而是靠服务器安全性保证的,如果你假定你的主机已经不安全了,那啥都救不了你啊。这么说吧,如果你能进入数据库服务器,你直接: sqlplus / as sysdba 就已经结束战斗了,想干啥干啥了,还在乎那JDBC密码干啥? 亲~ 如果数据库服务器的安全可以忽略呢? 有木有办法在WEB服务器已经被ROOT的情况下也搞不到数据库连接密码呢? 封装在类或者其他?? 求大神支招儿.. 专门用写一个桌面(用于win)或命令行程序(用户unix)去改写配置文件,配置文件本身加密。获取配置文件信息的时候用程序再解密获取,这个土方法想不到吗?不要说这个不够轻量级,本身为了安全性就是要“加重”的。 神人赐教! 有一种方法最安全,既不用连接池也不写在类里,可以很大程度的迷惑入侵者.执行netstat后会有如下效果:tcp 0 0 192.168.1.5:43246 192.168.1.13:1521 ESTABLISHED 4527/query_checkuser注意-p参数(斜线后面)显示出来的不是java.应该木有人会晓得方法吧 :) 这个 1521 端口已经深深的出卖了你话说,在被人获取ROOT权限的情况,首先就是安装并启动网络分析工具。然后强制杀掉1521端口的连接,注意只杀连接,不是应用程序。接下来就是等连接池自动回复连接,然后网络分析工具完整抓包。哦,你说跟数据库用户名密码啥关系?在网络包里面基本约等于明文,这个大家就都心知肚明了吧? JSP传值的问题 Tomcat启动加载servlet导致的问题。 javascript不能控制页面问题 我给分,难道不要么? 像CSDN左边的树形结构的问题!!! 无法打开file.jsp文件是什么原因? 这种效果怎么做 jsp发送邮件出错 系统的一个不小的bug:在给留言模块中,怎么样能把最新的留言从数据库里读出来,而老的留言不读呢? spring-boot启动后外部访问项目中接口报错 求教 如何在打开一个JSP页面后全屏,并且屏蔽crtl+tab切换其他窗口。 急 ~~ weblogic
Web应用的配置文件中就不要再有数据库配置信息了,只有连接池名字即可。
连接池的那个XML可以被轻松解密啊
欲闻其详:http://gustlik.wordpress.com/2008/08/06/decryption-of-configuration-passwords-in-weblogic/
而是靠服务器安全性保证的,如果你假定你的主机已经不安全了,那啥都救不了你啊。
这么说吧,如果你能进入数据库服务器,你直接:
sqlplus / as sysdba
就已经结束战斗了,想干啥干啥了,还在乎那JDBC密码干啥?
获取配置文件信息的时候用程序再解密获取,这个土方法想不到吗?
不要说这个不够轻量级,本身为了安全性就是要“加重”的。
执行netstat后会有如下效果:tcp 0 0 192.168.1.5:43246 192.168.1.13:1521 ESTABLISHED 4527/query_checkuser注意-p参数(斜线后面)显示出来的不是java.
应该木有人会晓得方法吧 :)
话说,在被人获取ROOT权限的情况,首先就是安装并启动网络分析工具。然后强制杀掉1521端口的连接,注意只杀连接,不是应用程序。接下来就是等连接池自动回复连接,然后网络分析工具完整抓包。
哦,你说跟数据库用户名密码啥关系?在网络包里面基本约等于明文,这个大家就都心知肚明了吧?