发布MVC站点,如何对数据库进行密码保护?
发布MVC站点,如何对数据库进行密码保护?
提问于 2012-08-27 19:59:31
以下是我的连接字符串:
<connectionStrings>
<add name="ArticleDbContext" connectionString="Data Source=|DataDirectory|MyBlog.sdf" providerName="System.Data.SqlServerCe.4.0" />
<add name="BlogDbContext" connectionString="Data Source=|DataDirectory|MyBlog.sdf" providerName="System.Data.SqlServerCe.4.0" />
<add name="CompanyDbContext" connectionString="Data Source=|DataDirectory|MyBlog.sdf" providerName="System.Data.SqlServerCe.4.0" />
<add name="UserProfileDbContext" connectionString="Data Source=|DataDirectory|MyBlog.sdf" providerName="System.Data.SqlServerCe.4.0" />
<add name="ApplicationServices" connectionString="Data Source=.\SQLEXPRESS;Integrated Security=SSPI;AttachDBFilename=|DataDirectory|aspnetdb1.mdf;User Instance=true" providerName="System.Data.SqlClient" />
</connectionStrings>我正在阅读这篇关于实现应用程序的注意事项的http://msdn.microsoft.com/en-us/library/ms181873(v=vs.90).aspx。
我想我应该把密码放在上面,然后再加密。这是正确的吗?事后我该怎么做呢?在我的web.config文件中放入密码有什么问题吗?我读到了一些关于反编译器能够读取你的密码的东西...这是一个真正的威胁吗?我可以做些什么来保护此应用程序?
回答 2
Stack Overflow用户
回答已采纳
发布于 2012-08-27 20:17:01
您应该始终加密存储在配置文件中的敏感信息。您可以通过编程或通过aspnet_regiis (参见docs。
为什么?
因为人们可以通过不同的漏洞下载纯文本的web.config文件,然后他们可以读取所有的连接字符串,用户名,密码等。
可能的攻击列表:
具有video
- Any的
- MS10-070机器上的其他用户可以读取web.config。这增加了一个巨大的列表,列出了所有已公开和未公开的针对操作系统本身的攻击。针对IIS FTP的
- 攻击以及随后的web.config传输,例如this one
Stack Overflow用户
发布于 2012-08-27 20:06:54
可能不会。web.config文件中的密码通常公开用于连接到远程SQL服务器(或其他数据库)的身份验证详细信息。这就是你想要保护的东西。
您的数据库文件是文件类型的(存储在本地),并且您的SQL Express数据库可以使用集成安全性进行访问,所以我想说您可以保持原样。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/12141566
复制相关文章
相似问题
腾讯云开发者
