MySQL и Java: массив байтов не тот, который был получен при его сохранении

Question

Я создаю таблицу для пользователей, содержащих их хэшированные пароли и ее соль.

Проблема заключается в том, что когда я создаю строку пользователя в таблице и сохраняю соль и пароль (оба являются byte[], хранящиеся в столбцах VARBINARY) и попытайтесь вернуть эти данные, когда пользователь зайдет назад, возвращенная соль и hashed пароль отличается от того, когда я создал строку.

Чтобы получить данные, я использую ResultSet и я называю resultSet.getBytes("password")

Для создания строки я использую запрос, как это (удалены другие данные столбцов, чтобы сделать его проще):

String query = String.format("insert into users (`password`, `salt`) values ('%s','%s');", user.getHashedPassword(), user.getSalt()); 

Может там быть какой-то конверсией или что-то, что происходит, что вызывает эту проблему? Должен ли я использовать что-то кроме VARBINARY для хранения byte[]?

Answer 1

Может ли быть какое-то преобразование или что-то, что происходит, что вызывает эту проблему?

Да. Вы в основном вызываете toString() на массив байтов. Это не будет делать то, что вы хотите. Вы посмотрели на SQL, который вы выполняли?

Более того, вы все равно не должны генерировать SQL-строку, как это в любом случае - это подход, который уязвим для SQL Injection Attacks, а также для проблем с преобразованием.

Вместо этого используйте PreparedStatement с параметризованным SQL и непосредственно укажите значения параметров (PreparedStatement.setBytes и т. Д.).

В более широком смысле, было бы неплохо не сворачивать свой собственный код аутентификации - найдите существующую библиотеку, которая хорошо вписывается в рамки, которые вы используете, что, вероятно, позволит избежать любого из многочисленных уязвимости безопасности, которые слишком легко создать, когда вы делаете это самостоятельно.