我在脑海里已经有很长一段时间了,但我还没有找到答案。我有一个MySQL数据库,我很乐意使用JDBC将我的Android应用程序连接到它。问题是,它有多安全。在使用预准备语句并转义所有内容时,SQL注入不是问题,但是,如果应用程序被破解并且源代码被反编译,潜在的黑客是否可以看到连接参数,如数据库的链接,用户名和密码?
在Android设备上使用JDBC是安全的,还是不安全且不安全?
如果没有,您认为最安全的方式是连接到MySQL数据库,还是网络服务仍然是目前最好的选择?
答案 0 :(得分:2)
如果手机没有完美的接收效果,那么当用户进出良好的接收时,您就会掉线并丢失数据。
JDBC协议并非设计用于处理移动设备中发生的完全/部分断开连接,尤其是当您处于查询中时。另一方面,HTTP至少允许您在自己的重试机制中进行设计,因为失败的HTTP请求只是一个失败的HTTP请求,而不是从网络层/ JDBC驱动程序冒出的异常。
答案 1 :(得分:2)
将硬编码凭据输入您的应用程序是一个糟糕的主意,因为如果有人对这个主题有一些了解,实际上会尝试破解您的应用程序,如果您的应用程序管理一些财务敏感数据,他们实际上会尝试重复攻击。
就安全性而言,在这种架构中,似乎非对称加密算法最适合这种交易,因为每次需要公钥时都可以硬编码/下载用于加密消息,它们只能由服务器端使用私钥解密。
我建议使用TLS加密的网络服务,它不会100%安全,但至少它会使问题变得更加强硬。