ASP.NET ConnectionString以安全的方式

Question

我无法在Google上对我的问题得到满意的答案，它们是：

• HttpRequest上ConnectionString的安全性如何？
• 在web.config文件中使用ConnectionString是否比在任何特定的aspx页中使用更安全？
• 以及如何为高度安全的网站保护ConnectionString？

我很好奇这一点。

Answer 1

您可以在webconfig内加密连接字符串，这是Microsoft撰写的有关此主题的文章： http : //msdn.microsoft.com/zh-cn/library/dx0f3cf2( v=vs.80) .aspx

如果通过通道发送连接字符串，它的安全性不比该通道高。 例如，通过HTTP发送连接字符串，它将仅是纯文本，将HTTPS发送并将其加密，通过FTP仅计划文本，依此类推...

如果您在共享托管环境中拥有一个Web应用程序，则应担心该提供程序可能会被黑客入侵。

因此，只需将连接字符串保留在web.config中并对其进行加密即可，不要在互联网上发送它；-)

Answer 2

连接字符串在web.config中是安全的。 除非您在网络请求上将它们打印出来，否则它们非常安全。

Answer 3

关于CodePlex 加密/解密连接字符串的漂亮项目

Answer 4

有很多方法可以保护您的连接字符串，例如

1. 加密您的连接字符串并将其保存在webconfig中
2. 加密您的连接字符串并将其保存在Windows注册表中

最好将connectionstring保存在webconfig中，以用作整个应用程序的单一使用点。

Answer 5

HttpRequest上ConnectionString的安全性如何？

它是一个字符串。 它仅与连接一样安全，因此通常根本不安全。 假设您正在通过HttpRequest 发送连接字符串详细信息。 如果不是这种情况，并且在web.config使用了连接字符串，则它与文件本身和IIS一样安全。

在web.config文件中使用ConnectionString是否比在任何特定的aspx页中使用更安全？

没有。

以及如何为高度安全的网站保护ConnectionString？

通常，人们使用集成的安全性（Windows身份验证）来避免对用户名和密码进行硬编码。 此外，您可以加密配置部分，如此处 （RSA）和此处 （DPAPI）所述。

Answer 6

HttpRequest上ConnectionString的安全性如何？

您是否通过http请求发送连接字符串？ 真的吗 这是什么情况？ 通常，仅对网页的请求会通过http请求以及响应进行访问。 Connectionstring是您的代码在内部用于访问数据的东西，它保留在服务器中。

在web.config文件中使用ConnectionString是否比在任何特定的aspx页中使用更安全？

考虑可维护性。 如果您将连接字符串放在一个类中，则必须在必须更改连接字符串的情况下重建应用程序。 如果某个机构可以访问您拥有文件的文件夹，则他们可以使用反汇编程序查看dll中的内容。

以及如何为高度安全的网站保护ConnectionString？

您可以在web.config中加密连接字符串。 检查此链接http://www.codeproject.com/Tips/304638/Encrypt-or-Decrypt-Connection-Strings-in-web-confi

Answer 7

依次回答您的问题：

• How secure ConnectionString is over the HttpRequest?

您永远不必通过HTTP传递连接字符串。 通常发生的情况是用户发出请求，您的站点处理该请求（包括连接到数据库），并将结果返回给客户端。 在这种情况下，不应通过HTTP发送连接字符串。

• Is using ConnectionString in web.config file more secure than using in any specific aspx page?

取决于您对连接字符串的处理方式-如果您将其写入客户端，那么它将永远是不安全的！ 通常将连接字符串放在config中，以实现可重用性。 将其嵌入每个页面可以带来更多的维护和潜在的错误。

• And how to secure ConnectionString for highly secure website?

您可以加密连接-这样就永远不会将其存储为纯文本格式，也可以使用Windows身份验证，因此您不需要密码。 ASP.Net支持此功能，如此处和此处所述 。