处理敏感数据或做出任何类型的安全决策的应用程序需要让这些数据保持自己的控制,并且不能允许其他潜在的恶意代码直接访问数据。 保护内存中数据的最佳方式是将数据声明为私有或内部(作用域限制为同一程序集)变量。 但是,即使此数据受到访问,你也应该注意:
使用反射机制,能够引用你的对象的高度受信任的代码可以获取和设置私有成员。
使用序列化,如果高度受信任的代码能够访问对象序列化形式的相应数据,则可以有效地获取和设置私有成员。
在调试下,可以读取此数据。
千万不要让你自己的任何方法或属性在无意中公开这些值。
