最近看到一些文章，在做一些数据库密码加密，明文的账号密码写在配置文件会产生一些安全问题，也有一些评论说应该将配置放在配置中心。其实放在配置中心，服务器被黑了，也是无法保证明文泄露的问题。因为密文最终也要转为明文才能链接数据库。

这里教大家通过arthas拿到已经加载的数据库链接，其实也是希望大家不要继续在应用做加密，浪费精力，又不讨好，最多就是显的高端一点点。

如何拿到已经加载的数据库连接对象?

首先我们要确定数据库链接对象是什么。

通过命令vmtool –action getInstances –className java.sql.Connection获取到所有的链接对象。

从图中可以看出链接对象是com.mysql. jdbc .JDBC4Connection。选中一个对象，显示它的属性值。

vmtool –action getInstances –className com.mysql.jdbc.JDBC4Connection –limit 1 -x 2

其中

–limit 是展示多少个对象

-x 表示展示级别，默认是1，展示效果如上，只能看到对象，看不到属性值，级别越高，展示的数据就越详细。

可以看到，已经拿到数据库所有信息了。所以说，应用加密没有任何作用，只能显得高端一点点。配置中心都是一样的道理，最终也是到 java .sql.Connection接口上。