为什么使用字符数组保存密码比使用String保存密码更好?

最新推荐文章于 2023-08-10 17:37:55 发布
翻译 最新推荐文章于 2023-08-10 17:37:55 发布 · 2.6k 阅读 · 2
文章标签:

#密码 #string #character #java #存储

java中为什么不用string保存密码,而是使用的字符数组来存储?

1)由于String在Java中是不可变的,如果你将密码以明文的形式保存成字符串,那么它将一直留在内存中,直到垃圾收集器把它清除。而由于字符串被放在字符串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间,而这将导致安全隐患,因为任何能够访问内存(memory dump内存转储)的人都能清晰的看到文本中的密码,这也是为什么你应该总是使用加密的形式而不是明文来保存密码。由于字符串是不可变的,所以没有任何方式可以修改字符串的值,因为每次修改都将产生新的字符串,然而如果你使用char[]来保存密码,你仍然可以将其中所有的元素都设置为空或者零。所以将密码保存到字符数组中很明显的降低了密码被窃取的风险。

2)Java本身也推荐使用JPasswordField组件的getPassword()方法,该方法将返回一个字符数组,而放弃了原来的getText()方法,这个方法把密码以明文的形式返回而可能会引起安全问题。所以,最好能听从来自Java团队的建议并且坚持标准,而不是去反对它。

3)使用字符串,在将文本输出到日志文件或者控制台的时候会存在风险。但是使用数组你不会把数组的内容打印出来,相反,打印出来的是数组在内存中的位置。尽管这算不上一个真正的原因,但这仍然很有意义。
String strPassword="Unknown";
char[] charPassword= new char[]{'U','n','k','w','o','n'};
System.out.println("String password: " + strPassword);
System.out.println("Character password: " + charPassword);

String password: Unknown
Character password: [C@110b053

这就是全部的关于为什么使用字符数组存储密码比字符串更好。只使用字符数组也是不够的,为了更安全你需要将数组内容进行转化。我也建议使用哈希的或者是加密过的密码而不是明文,然后一旦完成验证,就将它从内存中清除掉。

原文地址:http://javarevisited.blogspot.com/2012/03/why-character-array-is-better-than.html#ixzz2guhpuUJO

如果你觉得本篇对你有收获,请帮顶。
另外,我本人开通了微信公众号--分享技术之美,我会不定期的分享一些我学习的东西.
你可以搜索公众号:swalge 或者扫描下方二维码关注我


(转载文章请注明出处: http://blog.youkuaiyun.com/swagle/article/details/24453257 )
C语言总结七:表示字符串的两种方式—字符数组与字符串指针详细总结
weixin_47040031的博客
12-21 3396
C语言并没有专用的字符串类型的数据类型来存储一个字符串,字符串是C语言中重要的一块基本理论,掌握好字符串可减少实际开发经常出现的错误,本篇博客详细全面总结字符数组与字符串的定义及基本的使用方法,以及常用的库函数和针对内存操作的内存函数。
php数组保存文本与文本反编成数组实例
12-18
然而,对于大型或复杂的数据,更推荐使用序列化(serialize)和反序列化(unserialize)函数,它们提供了更安全且性能更好的方式来处理数组到字符串的转换。另外,如果你需要存储大量数据,考虑使用数据库或专门的...
为什么存储密码字符数组比字符串更合适? 有点意思
00的专栏
12-10 977
为什么存储密码字符数组比字符串更合适”这个问题是我的一个朋友在最近一次面试中提到的。那哥们是应聘的是一个技术lead的职位,有超过六年的工作经验。字符数组和字符串都可以用于存储文本数据,但是在选择具体哪一种时,如果你没有针对具体的情况是很难回答这个问题的。但是正如这哥们说的任何与字符串相关的问题一定有线索可以在字符串的属性里面找到,比如可变性。他就用这种方式去说服面试官。这里我们就来探讨一些
为什么 char 数组比 String 更适合存储密码
Java技术栈,分享最主流的Java技术
09-09 649
推荐阅读:5 个刁钻的 String 面试题! 另一个基于 String 的棘手 Java 问题,相信我只有很少的 Java 程序员可以正确回答这个问题。 这是一个真正艰难的核心 Java 面试问题,并且需要对 String 的扎实知识才能回答这个问题。 这是最近在 Java 面试中向我的一位朋友询问的问题。 他正在接受技术主管职位的面试,并且有超过6年的经验。如果你还没有遇到过这种情况,那么字符数组和字符串可以用来存储文本数据,但是选择一个而是另一个很难。 但正如我的朋友所说,任何与 String 相关
使用字符数组保存密码, 比使用String保存密码更好
weixin_30555515的博客
08-15 183
Java 中, 使用字符数组保存密码使用String保存密码更好. 两点理由 : 很难从内存中清除. String 属于可变对象, 他会被放到串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间. 这时任何能够访问内存的人, 都可以很容易看到明文密码 当然, 根本就应该使用明文密码 Java 提供 JPasswordField组件的getPassword()方法 这是特意为密码...
Java中的密码优先使用 char[] 而String
Forward__的博客
10-26 2947
由于StringJava中是可变的,如果你将密码以明文的形式保存成字符串,那么它将一直留在内存中,直到垃圾收集器把它清除。而由于字符串被放在字符串缓冲池中以方便重复使用,所以它就可能在内存中被保留很长时间,而这将导致安全隐患,因为任何能够访问内存(memory dump内存转储)的人都能清晰的看到文本中的密码,这也是为什么你应该总是使用加密的形式而是明文来保存密码。由于字符串是可变的,所以
对于一些敏感的数据(例如密码),为什么使用字符数组存储使用String更安全?
Rosen's
12-08 1284
Java语言中,String可变类,它被存储在常量字符串池中,从而实现了字符串的共享,减少了内存的开支。 正因为如此,一旦一个String类型的字符串被创建出来,这个字符串就会存在于常量池中,直到被垃圾回收器回收为止。 因此,即使这个字符串(比如密码再被使用,它仍然会在内存中存在一段时间(只有垃圾回收器才会回收这块内容,程序员没有办法直接回收字符串)。此时有权限访问memory dump(存储器转储)的程序都可能会访问到这个字符串,从而把敏感的数据暴露出去,这是一个非常大的安全隐患。 如果使用.
php中将数组转成字符串并保存到数据库中的函数代码
12-19
然而,由于`eval()`的安全隐患,更好的做法可能是使用序列化(`serialize()`)和反序列化(`unserialize()`)函数来处理数组和字符串之间的转换,它们是PHP内建的、更安全的机制: ```php $array = array('key1' =>...
探讨js字符串数组拼接的性能问题
12-03
反之,如果目标用户主要使用较旧版本的IE,或者处理的字符串较大或数量较多,那么采用数组的`join`方法会是更好的选择。 在实践中,我们还需要考虑代码的可读性和语义性。如果字符串连接具有明确的逻辑联系,如拼接...
c代码-字符数组学习jm
07-16
字符数组本质上是一系列连续的字符存储空间,用于保存字符序列,通常用来表示字符串。本压缩包中的"代码"资源,包括了`main.c`源文件和`README.txt`文档,旨在帮助我们深入理解C语言中的字符数组。 `main.c`文件...
代码使用String 类型存储密码,如何解决
一天不写代码难受的博客
08-10 372
请注意,尽管将 String 对象设置为 null 可以帮助垃圾回收器回收对象,但这并能立即从内存中清除密码。在Java中,String 对象是可变的,这意味着一旦创建,它们将保留在内存中,直到垃圾回收器回收它们。完成后,我们将 passwordString 设置为 null,以便垃圾回收器可以回收该对象。如果在使用密码进行操作时,需要将密码作为 String 类型传递给某些方法或库,可以使用 String 类型的密码进行操作,但在使用完毕后尽快将其设置为 null,以便垃圾回收器可以回收该对象。
为什么 char[] 优于 String密码
HuntsBot的博客
12-15 1039
在 Swing 中,密码字段有一个 getPassword()(返回 char[])方法,而是通常的 getText()(返回 String)方法。同样,我遇到了一个建议,使用 String 来处理密码为什么密码方面 String 会对安全构成威胁?使用char[]感觉方便。
谈谈String类的可变性
06-26 2049
来源 | 简书| 作者 |指尖上的榴莲一.原理(为什么String类是可变的)1.什么是可变对象如果一个对象在创建之后就能再改变它的状态,那么这个对象是可变的(Immutable)。能改变状态的意思是,能改变对象内的成员变量,包括基本数据类型变量的值能改变,引用类型的变量能指向其他的对象,引用类型指向的对象的状态也能改变。2.final关键字的作用如...
Java基础 -> 为什么 char 数组比 Java 中的 String 更适合存储密码
rod0320的博客
02-28 667
为什么 char 数组比 Java 中的 String 更适合存储密码? 由于字符串在 Java 中是可变的,如果你将密码存储为纯文本,它将在内存中可用,直到垃圾收集器清除它. 我们应该要加密一下这个密码,重新保存一个加密后的,但是字符串可变的原因,就算改了,之前的密码依旧在内存中有一段时间存活 并且为了可重用性,会存在 String 在字符串池中, 它很可能会保留在内存中持续很长时间,从而构成安全威胁。 String 在字符串池会获得比我们想象的更加久,这对密码来说是有安全隐患的
为什么存储密码字符数组比字符串更合适?
晚晴小筑
04-25 2328
记得这是 《java核心技术》这本书中的一句话,当时读到时也是各种疑惑。 String 的存在在很大程度上就是取代字符数组char[] ,为何又推荐密码使用字符数组保存? 我们知道,字符数组和字符串都可以用于存储文本数据。 任何与字符串相关的问题一定可以从字符串的属性里面找到线索,比如可变性。 对于String password1 = "1q2w3e";,String实例(本...
为什么Java中的密码优先使用 char[] 而String
代码的未来
03-09 1559
作者按:这是一件非常纠结的事情,首先黑客dump JVM并是一件容易发生的事,其次能dump的时候黑客肯定有其他办法获取用户密码,所以最保险稳妥的做法当然是从前台就消灭掉明文密码,参考人人网和新浪微博的登录,当然了,豆瓣的例子是反的,这么多年一直明文提交登录。 下面的答案来自知乎。 简单说:String是常量(即创建之后就无法更改),会保存到常量池中,如果有其他进程可以dum
尽量使用 String存储密码等敏感信息
赞哈哈的博客
05-19 2789
我们通常使用一个 String 类型变量来保存用户提交的密码等敏感信息,但实际上这是安全的做法。 从 String 类的签名可以看到,String 的对象都是可变的,也就是说 String 对象一旦被创建就能通过任何方法(除了使用反射)对它进行修改,直到其被垃圾回收器回收(这段时间这个 String 对象通常会存在于常量池中)。这也就意味着在 String 对象被创建到垃圾回收器对它进行回收的这段时间,一旦内存被 dump,那么密码等敏感信息将以明文的形式暴露。 另外,我们可能在编程中无意的将密码打印
Java存储密码字符数组
weixin_34377919的博客
08-03 391
字符数组和字符串都可以用于存储文本数据,但是在选择具体哪一种时,如果你没有针对具体的情况是很难回答这个问题的。但是任何与字符串相关的问题一定有线索可以在字符串的属性里面找到,比如可变性。他就用这种方式去说服面试官。这里我们就来探讨一些关于为什么你应该使用char[] 来存储密码是字符串。 因为字符串是可变对象,如果作为普通文本存储密码,那么它会一直存在内存中直至被垃圾收集器回收。因为...
使用数组保存txt数据而是使用datatable
最新发布
10-17
在 C# 中,我们可以使用数组来保存 `.txt` 文件的每一行数据,而是使用 `DataTable` 来结构化地存储所有行,并在后续处理中遍历这个表。虽然文本文件是纯行式数据(无固定列),但我们仍可以将每行拆分为多个字段并存入 `DataTable` 的列中。 以下是 **完整示例代码**: 用户选择一个 `.txt` 文件 → 程序逐行读取 → 按逗号分隔 → 存入 `DataTable` → 遍历 DataTable 查找包含 `"EXP INFO"` 的行 → 输出第4个字段(索引3)。 ```csharp using System; using System.Data; using System.IO; using System.Windows.Forms; namespace ReadTxtToDataTable { public class Program { [STAThread] public static void Main() { Application.EnableVisualStyles(); Application.SetCompatibleTextRenderingDefault(false); using (OpenFileDialog openFileDialog = new OpenFileDialog()) { openFileDialog.Filter = "Text files (*.txt)|*.txt|All files (*.*)|*.*"; openFileDialog.Title = "请选择一个文本文件"; if (openFileDialog.ShowDialog() == DialogResult.OK) { string filePath = openFileDialog.FileName; try { // 创建 DataTable 来存储所有行的数据 DataTable dataTable = new DataTable("TextFileData"); // 添加一列用于存储原始行内容(可选) dataTable.Columns.Add("RawLine", typeof(string)); // 可选:添加动态列(如 Field0, Field1...),这里我们只保留原始行 + 分割后的处理 // 实际上我们会把每个分割字段都作为列存进去,而是在遍历时临时 split // 使用 StreamReader 逐行读取,节省内存(适合大文件) using (StreamReader reader = new StreamReader(filePath)) { string line; while ((line = reader.ReadLine()) != null) { dataTable.Rows.Add(line); // 只存原始行,分割留到后面处理 } } Console.WriteLine("开始处理 DataTable 中的数据:"); Console.WriteLine(new string('-', 50)); // 遍历 DataTable 的每一行 foreach (DataRow row in dataTable.Rows) { string rawLine = row["RawLine"].ToString(); if (rawLine.Contains("EXP INFO")) { string[] parts = rawLine.Split(','); if (parts.Length >= 4) { string fourthField = parts[3].Trim(); Console.WriteLine($"【匹配行】第4个字段: {fourthField}"); } else { Console.WriteLine($"【警告】字段足4个,跳过该行:{rawLine}"); } } } Console.WriteLine(new string('-', 50)); Console.WriteLine("处理完成。按任意键退出..."); } catch (Exception ex) { Console.WriteLine($"发生错误:{ex.Message}"); } } else { Console.WriteLine("未选择文件,程序退出。"); } } Console.ReadKey(); } } } ``` --- ### ✅ 解释: 1. **`DataTable` 的作用** - 我们创建了一个名为 `TextFileData` 的 `DataTable`。 - 它只有一个列 `RawLine`,用来保存从文件中读取的每一行原始字符串。 - 这样做的好处是:你可以后续对这个表做查询、绑定到 UI 控件(如 DataGridView)、导出等操作。 2. **为什么用多列存储 split 后的结果?** 因为 `.txt` 文件通常是定长字段(每行列数同),所以很难预先定义列。因此我们先只存原始行,在需要时再动态 `Split()` 处理。 3. **使用 `StreamReader` 替代 `File.ReadAllLines`** - 更节省内存,尤其适用于大文件。 - 一行一行读入并加入 `DataTable`,避免一次性加载全部内容到数组。 4. **仍然基于条件判断和 split 提取第四个字段** - 在遍历 `DataTable.Rows` 时,取出 `RawLine` 字段。 - 判断是否包含 `"EXP INFO"`。 - 按逗号分割后取 `parts[3]`。 5. **扩展性好** - 以后如果要将这些数据展示在 WinForms 的 `DataGridView` 上,只需设置: ```csharp dataGridView1.DataSource = dataTable; ``` --- ### 示例输出(基于之前的数据): ``` 开始处理 DataTable 中的数据: -------------------------------------------------- 【匹配行】第4个字段: VALUE:A1B2C3 【匹配行】第4个字段: RUN_ID:XYZ789 -------------------------------------------------- 处理完成。按任意键退出... ``` --- ### 💡 提示:如果你想把 split 字段也存进 DataTable(高级用法) 你也可以设计一个更复杂的 `DataTable`,比如有 `Field0`, `Field1`, ..., 或者命名列: ```csharp // 动态添加列(最多需要几列?) for (int i = 0; i < 10; i++) { dataTable.Columns.Add($"Field{i}", typeof(string)); } ``` 然后插入时: ```csharp string[] parts = line.Split(','); DataRow newRow = dataTable.NewRow(); newRow["RawLine"] = line; for (int i = 0; i < parts.Length && i < 10; i++) { newRow[$"Field{i}"] = parts[i].Trim(); } dataTable.Rows.Add(newRow); ``` 这样就可以直接通过列访问 `row["Field3"]` 来获取第四个字段。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值