关于网站设计的一点点讨论

呵呵，有这个可能性，很多东西都有人做，但不一定都实用。最起码JBOSS加密过的数据源密码，别人可以在JBOSS的源码里找到破解算法。（根据你那些假设，估计入侵者有大把时间在服务器上漫游）

配置文件根本不应该成为安全问题的关注点。加强防火墙和数据库本身的安全性才是正道。如前面有人说的把该用户的访问限定在局域网内

果然是技术性论坛阿,讨论讨论就深入到技术了,这是产品开发的大忌.

产品开发时,一个阶段性版本具体包括那些国内特性,大家可以讨论,但是决定权只能有一个人来做.这不是好或坏的问题,而是效率问题.

产品作的不好固然有问题,但是做的慢了一定会死.

同意您的意见，作为程序员，我们只是尽可能的采用我们现有的知识来保证我们程序的安全性，
不过像我们这种小公司，现在来说还不存在网管，所以网管很大部分的工作我们都得负责，如果对于那些数据相关不是很重要的来说，我做一般的保护措施就ok了，
但个人感觉，我现在有些数据像银行那些数据那么重要，可是我们却没有银行那些保护系统，所以也不知道该怎么做才可以最大限度的保证数据的安全性。
我的意思是我没有做过银行那些系统，不知道到底怎么样才安全。

同意您的意见，就想我的boss说的，交付一个可以使用的系统，比交付一个充满未知bug，但看起来却很炫耀的东西根本就是本质的区别。
他宁愿使用只有一个功能，但这个功能却是很稳定，而不愿意使用100个功能，但这些功能随意都可以致命一击。
哈哈哈

所谓的存储过程安全性质，也是我老板说的。
他的意思就是：
假设你把数据库放在外网，你对数据进行了密码保护，别人需要得到您的密码，
如果别人入侵了你的web服务器，就可以通过hibernate获取你的username 和password，这样就可以入侵你的数据库
如果我的用户名跟密码不是通过hibernate来登录的，相当于另外建立一个数据库，而这个数据库并不让hibernate来访问，我们要获取数据，只需要调用存储过程这个暴露给程序来访问，这样就相当安全，
这是我的理解。
哈

这个当然了。
小的时候，每人理你，网站大了，什么人都想找你的茬。