数据库安全实验四.docx

数据库安全实验四.docx

《数据库安全实验四.docx》由会员分享，可在线阅读，更多相关《数据库安全实验四.docx（12页珍藏版）》请在冰豆网上搜索。

数据库安全实验四

实验报告

课程名称数据库安全

容数据库加密

指导教师岳清

起止日期2016.10.10-11.1

提交日期2016.11.8

学院计算机学院

系别专业软件工程

学生肖庆都

班级/学号软工1401/2014011352

成绩___________________

一、实验目的

了解数据库加密的重要性，掌握MD5加密方法。

二、实验容

在dbsecurity数据库中新建一表user，包含两个字段username，password。

将password字段的数据用MD5算法加密。

代码如下：

主程序代码：

packagetest;

importjavax.swing.*;

importjava.awt.*;

importjava.awt.event.*;

importjava.sql.*;

importjava.security.MessageDigest;

publicclassTestextendsJFrame{

/**

*

*/

privatestaticfinallongserialVersionUID=1L;

publicTest（）{

setLayout（newGridLayout（3,1））;

JPanelp1=newJPanel（）;

JPanelp2=newJPanel（）;

JPanelp3=newJPanel（）;

JTextFieldjtf=newJTextField（12）;

JPasswordFieldjpf=newJPasswordField（12）;

JLabeljl1=newJLabel（"用户名"）;

JLabeljl2=newJLabel（"密码"）;

JButtonjbt_login=newJButton（"登陆"）;

JButtonjbt_cancel=newJButton（"取消"）;

jbt_login.addActionListener（

newActionListener（）{

publicvoidactionPerformed（ActionEvente）{

Connectcon=newConnect（）;

StringuserName=jtf.getText（）.trim（）;

char[]pwd=jpf.getPassword（）;

Stringpassword=newString（pwd）;

Md5md5=newMd5（）;

Stringmd5pwd=md5.toMD5（password）;

try{

ResultSetrs;

Stringsql="select*fromt_user";

rs=con.executeQuery（sql）;

while（rs.next（））{

if（userName.equals（rs.getString（"t_name"）））{

if（md5.toMD5（rs.getString（"t_password"））.substring（32）.equals（md5pwd））{

JOptionPane.showMessageDialog（null,"登陆成功","OK",JOptionPane.INFORMATION_MESSAGE）;

System.out.println（rs.getString（"t_password"））;

System.out.println（md5pwd）;

System.out.println（md5.toMD5（rs.getString（"t_password"））.substring（32,64））;

break;

}else{

JOptionPane.showMessageDialog（null,"登陆失败","fault",JOptionPane.ERROR_MESSAGE）;

break;

}

}

}

con.close（）;

}catch（Exceptione1）{

System.err.println（"错误为:

"+e1.getMessage（））;

}

}

}）;

jbt_cancel.addActionListener（

newActionListener（）{

publicvoidactionPerformed（ActionEvente）{

}

}）;

//第一块面板

p1.add（jl1）;

p1.add（jtf）;

//第二块面板

p2.add（jl2）;

p2.add（jpf）;

//第三块面板

p3.add（jbt_login）;

p3.add（jbt_cancel）;

p3.setLayout（newFlowLayout（））;

add（p1）;

add（p2）;

add（p3）;

}

publicvoidtoMD5（StringplainText）{

try{

//生成实现指定摘要算法的MessageDigest对象。

MessageDigestmd=MessageDigest.getInstance（"MD5"）;

//使用指定的字节数组更新摘要

md.update（plainText.getBytes（））;

//通过执行诸如填充之类的最终操作完成哈希计算。

byteb[]=md.digest（）;

//生成具体的md5密码到buf数组

inti;

StringBufferbuf=newStringBuffer（""）;

for（intoffset=0;offset

i=b[offset];

if（i<0）{

i+=256;

}

if（i<16）{

buf.append（"0"）;

}

buf.append（Integer.toHexString（i））;

}

System.out.println（"32位:

"+buf.toString（））;

System.out.println（"16位:

"+buf.toString（）.substring（8,24））;

}catch（Exceptione）{

e.printStackTrace（）;

}

}

publicstaticvoidmain（String[]args）{

Testframe=newTest（）;

frame.setTitle（"登陆"）;

frame.setSize（300,200）;

frame.setLocationRelativeTo（null）;

frame.setDefaultCloseOperation（JFrame.EXIT_ON_CLOSE）;

frame.setVisible（true）;

}

}

连接数据库的代码：

packagetest;

importjava.sql.*;

publicclassConnect{

Connectioncon;

Statementsta;

Stringdriver;

Stringdb;

publicConnect（）{

driver=".microsoft.sqlserver.jdbc.SQLServerDriver";

db="jdbc:

sqlserver:

//localhost:

1433;DatabaseName=login";

Stringusername="xiaoqingdu";

Stringpwd="woaini";

try{

Class.forName（driver）;

con=DriverManager.getConnection（db,username,pwd）;

sta=con.createStatement（）;

}catch（java.lang.ClassNotFoundExceptione）{

System.err.println（"a:

+"+e.getMessage（））;

}catch（SQLExceptione1）{

System.err.println（"b:

"+e1.getMessage（））;

}

}

publicResultSetexecuteQuery（Stringsql）{

ResultSetrs=null;

try{

rs=sta.executeQuery（sql）;

}catch（SQLExceptione）{

System.err.println（"d:

"+e.getMessage（））;

}

returnrs;

}

publicvoidclose（）{

try{

sta.close（）;

con.close（）;

}//Final

catch（SQLExceptione）{

System.err.println（"e:

"+e.getMessage（））;

}

}

}

Md5算法

packagetest;

importjava.security.*;

publicclassMd5{

StringBufferbuf=newStringBuffer（""）;

publicMd5（）{

}

publicStringtoMD5（StringplainText）{

try{

//生成实现指定摘要算法的MessageDigest对象。

MessageDigestmd=MessageDigest.getInstance（"MD5"）;

//使用指定的字节数组更新摘要

md.update（plainText.getBytes（））;

//通过执行诸如填充之类的最终操作完成哈希计算。

byteb[]=md.digest（）;

//生成具体的md5密码到buf数组

inti;

;

for（intoffset=0;offset

i=b[offset];

if（i<0）{

i+=256;

}

if（i<16）{

buf.append（"0"）;

}

buf.append（Integer.toHexString（i））;

}

}catch（Exceptione）{

e.printStackTrace（）;

}

returnbuf.toString（）;

}

}

测试结果：

在数据库中建立的t_user表。

t_name=xiao,t_password=xiao。

界面显示：

测试结果：

错误结果：

三、实验总结

MD5（单向散列算法）的全称是Message-DigestAlgorithm5（信息-摘要算法），经MD2、MD3和MD4发展而来。

MD5算法的使用不需要支付任何费用。

MD5功能：

输入任意长度的信息，经过处理，输出为128位的信息（数字指纹）；

不同的输入得到的不同的结果（唯一性）；

根据128位的输出结果不可能反推出输入的信息（不可逆）；

MD5用途：

1、防止被篡改：

1）比如发送一个电子文档，发送前，我先得到MD5的输出结果a。

然后在对方收到电子文档后，对方也得到一个MD5的输出结果b。

如果a与b一样就代表中途未被篡改。

2）比如我提供文件下载，为了防止不法分子在安装程序中添加木马，我可以在上公布由安装文件得到的MD5输出结果。

3）SVN在检测文件是否在CheckOut后被修改过，也是用到了MD5.

2、防止直接看到明文：

现在很多在数据库存储用户的密码的时候都是存储用户密码的MD5值。

这样就算不法分子得到数据库的用户密码的MD5值，也无法知道用户的密码（其实这样是不安全的，后面我会提到）。

（比如在UNIX系统中用户的密码就是以MD5（或其它类似的算法）经加密后存储在文件系统中。

当用户登录的时候，系统把用户输入的密码计算成MD5值，然后再去和保存在文件系统中的MD5值进行比较，进而确定输入的密码是否正确。

通过这样的步骤，系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。

这不但可以避免用户的密码被具有系统管理员权限的用户知道，而且还在一定程度上增加了密码被破解的难度。

）

3、防止抵赖（数字签名）：

这需要一个第三方认证机构。

例如A写了一个文件，认证机构对此文件用MD5算法产生摘要信息并做好记录。

若以后A说这文件不是他写的，权威机构只需对此文件重新产生摘要信息，然后跟记录在册的摘要信息进行比对，相同的话，就证明是A写的了。

这就是所谓的“数字签名”。

对于目前网上出现的MD5解密。

那些是通过大量的数据库进行存储大量的信息。

输入md5加密后的密文，其实就跟查字典类似。

一个一个的进行匹对。

真正意义的破解并没有出现。