我们知道这是一个很好的做法,喜欢char []超过
java.lang.String来存储密码.这是因为以下两个原因(正如我已经阅读):
> char []是可变的,所以我们可以在使用后清除密码.
>字符串文字转到不会像其他对象一样收集垃圾的池,因此可能会出现在内存转储中.
但是java.sql.DriverManager没有符合上述最佳做法的getConnection(),因为它的密码参数是String.
DriverManager.getConnection(String url,String user,String password)
我认为API应该有一个带有以下签名的重载方法:
DriverManager.getConnection(String url,char[] password)
你怎么看待这件事?你看到有什么替代方法来克服这个退缩吗?
很乐意听到你的想法.
解决方法
字符串字面值进入一个池,但我不会指望密码是一个字面值(在程序中硬编码).我希望它来自一个配置或类似的.因此,它不会是一个字面值,并将收集垃圾(如果所有引用都被分配).