各位大虾好：
最近发现我们公司的一个软件有着极大的安全隐患，具体情况如下——公司的一个
系统采用的C/S结构，client端是用pb开发的，sever端数据库是oracle，client
端对sever端的数据存取口令等关键信息都以INI文件的形式存在client端，导致数
据库的用户名和口令很容易被人截获，而非法访问数据库，请问如何能堵上这一漏洞。另外，这一系统
非常庞大，所以不大可能大面积的修概client，请问有何高见，拜托！

简单点的：把用户名和口令加密后再存储在文件中.

以前也发现过这个问题，据说pb可以写成二进制文件，来读取此信息的。不幸的是，偶现在也不知道怎么处理
不过，最简单的办法是：仍然存为文本文件（ini也是文本）。但是改变其扩展名（任意）。在调用时，读取此文件（全名）即可。

呵呵
那也许我在oradb上给你说的就是瞎掰么

不修改代码的方法可能是:
将ini文件中的用户的权限降到最代低create session,使用数据库log on触发器检查用户主机名,ip等信息确定是否合法用户,然后将其它要权限给另一个role,在检查用户合法的情况下启用角色,否则将会话kill. 但希望你用的不是sys/system/internal用户,如果是这样,这种方法不行.

在大的系统中,数据库安全这一块是独立的或由中间层来做数据库连接验证等安全操作,这一块可灵活更换.且不和主程序牵连

guo的方法是我给他说的其中一个（在数据库端存储抽取出来的正常client信息利用trigger）

另外一个是利用listener返回hosts是一个特殊的字符串（不易被人猜中）
然后在client的hosts中对该字符串进行解析
我不知道这个在网络上被人截获会不会容易被人……
简单情况下这样可以避免人通过sqlnet登陆主机
只是这样需要修改client的hosts

采用方法一，如果clien的信息不容易抽取公共的特征也比较麻烦了（除非逐个登记ip等）