使用密碼保護SQLite數據庫

Question

我正在研究一個我喜歡阻止用戶訪問我的應用數據庫內容的Android項目。

我認爲有3種方式，但我不知道一個人是最好的，也不知道他們應該如何工作。

我的問題是我不知道哪種方式是最好的，它是如何工作的。

1. 將所有文本和數據加密到數據庫並解密，當我想使用它！
2. 加密整個數據庫並在應用程序需要時解密。
3. 使用第三方庫，如SQLCipher。

Answer 1

我上，我想阻止用戶去我的應用程序的數據庫

如果用戶的設備上的內容的Android項目的工作，它是用戶的數據庫，而不是你的。它只會是你的數據庫，如果它在你的硬件上。

我的問題是我不知道哪種方式是最好的，它是如何工作的。

所有這些對於阻止用戶訪問用戶數據都是無效的。

您的數據庫應該位於內部存儲器上，即SQLite數據庫的默認位置。大多數用戶無法訪問內部存儲以訪問數據庫。唯一能夠根植他們設備的人。任何人只要有能力和興趣都剷除他們的設備，並嘗試在你的應用數據庫以獲取將擁有的技能和興趣之一：

1. 反向工程您的應用程序找到你的加密算法和密鑰，或

2. 某處上傳數據庫，並說服別人來反向工程您的應用程序找到你的加密算法和密鑰

如果你不希望用戶能夠訪問數據庫，做沒有把它放在他們的設備上。通過您的服務器的Web服務訪問它。

類似於SQLCipher for Android的工具用於防止用戶的數據受到攻擊。它們不適合作爲DRM解決方案。

Answer 2

如果你打算加密數據，爲了善意，請使用經過測試的現有庫，而不是自己做得不好！例如，SQLite的作者本身銷售encryption extension（它用於醫療信息系統等），還有其他一些可能的解決方案。 （我用Google搜索sqlite encryption，我相信你也能！）

但是，要知道，容納兩個加密的數據和密鑰來解密同一非信任設備上的數據是總是可能是麻煩;這是DRM問題（也就是說，你已經把用戶真正需要的所有東西都放在了用戶套件上，而且用戶相對具有敵意）。你應該考慮你的應用程序架構; Android設備往往連接的很好，所以你可以看看是否將數據庫放在服務器的某個地方，並且只嚮應用程序提供一點點（它可能緩存或不緩存），這是合適的。