ASP.NET ConnectionString以安全的方式

Question

我無法在Google上對我的問題得到滿意的答案，它們是：

• HttpRequest上ConnectionString的安全性如何？
• 在web.config文件中使用ConnectionString是否比在任何特定的aspx頁中使用更安全？
• 以及如何為高度安全的網站保護ConnectionString？

我很好奇這一點。

Answer 1

您可以在webconfig內加密連接字符串，這是Microsoft撰寫的有關此主題的文章： http : //msdn.microsoft.com/zh-cn/library/dx0f3cf2( v=vs.80) .aspx

如果通過通道發送連接字符串，它的安全性不比該通道高。 例如，通過HTTP發送連接字符串，它將僅是純文本，將HTTPS發送並將其加密，通過FTP僅計划文本，依此類推...

如果您在共享托管環境中擁有一個Web應用程序，則應擔心該提供程序可能會被黑客入侵。

因此，只需將連接字符串保留在web.config中並對其進行加密即可，不要在互聯網上發送它；-)

Answer 2

連接字符串在web.config中是安全的。 除非您在網絡請求上將它們打印出來，否則它們非常安全。

Answer 3

關於CodePlex 加密/解密連接字符串的漂亮項目

Answer 4

有很多方法可以保護您的連接字符串，例如

1. 加密您的連接字符串並將其保存在webconfig中
2. 加密您的連接字符串並將其保存在Windows注冊表中

最好將connectionstring保存在webconfig中，以用作整個應用程序的單一使用點。

Answer 5

HttpRequest上ConnectionString的安全性如何？

它是一個字符串。 它僅與連接一樣安全，因此通常根本不安全。 假設您正在通過HttpRequest 發送連接字符串詳細信息。 如果不是這種情況，並且在web.config使用了連接字符串，則它與文件本身和IIS一樣安全。

在web.config文件中使用ConnectionString是否比在任何特定的aspx頁中使用更安全？

沒有。

以及如何為高度安全的網站保護ConnectionString？

通常，人們使用集成的安全性（Windows身份驗證）來避免對用戶名和密碼進行硬編碼。 此外，您可以加密配置部分，如此處 （RSA）和此處 （DPAPI）所述。

Answer 6

HttpRequest上ConnectionString的安全性如何？

您是否通過http請求發送連接字符串？ 真的嗎 這是什么情況？ 通常，僅對網頁的請求會通過http請求以及響應進行訪問。 Connectionstring是您的代碼在內部用於訪問數據的東西，它保留在服務器中。

在web.config文件中使用ConnectionString是否比在任何特定的aspx頁中使用更安全？

考慮可維護性。 如果您將連接字符串放在一個類中，則必須在必須更改連接字符串的情況下重建應用程序。 如果某個機構可以訪問您擁有文件的文件夾，則他們可以使用反匯編程序查看dll中的內容。

以及如何為高度安全的網站保護ConnectionString？

您可以在web.config中加密連接字符串。 檢查此鏈接http://www.codeproject.com/Tips/304638/Encrypt-or-Decrypt-Connection-Strings-in-web-confi

Answer 7

依次回答您的問題：

• How secure ConnectionString is over the HttpRequest?

您永遠不必通過HTTP傳遞連接字符串。 通常發生的情況是用戶發出請求，您的站點處理該請求（包括連接到數據庫），並將結果返回給客戶端。 在這種情況下，不應通過HTTP發送連接字符串。

• Is using ConnectionString in web.config file more secure than using in any specific aspx page?

取決於您對連接字符串的處理方式-如果您將其寫入客戶端，那么它將永遠是不安全的！ 通常將連接字符串放在config中，以實現可重用性。 將其嵌入每個頁面可以帶來更多的維護和潛在的錯誤。

• And how to secure ConnectionString for highly secure website?

您可以加密連接-這樣就永遠不會將其存儲為純文本格式，也可以使用Windows身份驗證，因此您不需要密碼。 ASP.Net支持此功能，如此處和此處所述 。