在對項目進行安全掃描時，發現一些密碼硬編碼問題，本文主要三個方面：1）什麽是密碼硬編碼；2）密碼硬編碼的危害；3）密碼硬編碼的解決方案。

一 什麽是密碼硬編碼

將密碼以明文的形式直接寫到代碼中，就是密碼硬編碼。

下邊示例中，將用戶名和密碼直接寫到代碼中，就是硬編碼。

1 function connectionDatabase(url, userName, password) {
2     // ....
3 }
4 
5 connectionDatabase(‘./api‘, ‘zhangsan‘, ‘1234567‘);

二 密碼硬編碼的危害

主要危害有2個方面：

1）安全風險

只要能拿到該代碼的人（即使代碼發布前做過編譯或者混淆壓縮，也能通過反編譯等手段查看到源碼），都能獲取到該用戶名和密碼，導致安全風險；

2）可維護性不好

代碼一旦發布上線，後續要修改該用戶名和密碼非常困難，需要更改源代碼。

三 密碼硬編碼的解決方案

密碼硬編碼還沒有絕對安全的解決方案，只能通過加大破解難度來提高安全性。

最常用的方法是對密碼進行模糊化（例如：要先經過hash處理再存儲），並將密碼存在外部資源文件中進行管理。

示例：

下邊代碼中就是獲取配置文件中配置好的密碼：

下邊代碼中就是配置文件中加密過的密碼：

說明：經過上邊的處理，並不是就絕對安全了，黑客高手也有手段破解。但相比直接明文方式加密，至少能解決安全軟件掃描問題。

四 參考資料&內容來源

CSDN：https://blog.csdn.net/alimobilesecurity/article/details/51425629

博客園：https://www.cnblogs.com/meInfo/p/9037584.html

51CTO： http://netsecurity.51cto.com/art/201603/507142.htm

密碼硬編碼（Password Management: Hardcoded Password）