web.config中的連接字符串安全

Question

我有一個網站由於在其自己的應用程序池下運行在IIS 7.5中而公開。在該網站的web.config中，存在一個到sql數據庫的未加密連接字符串。

以自己的身份運行應用程序池是否更好&然後在web.config中使用sql身份驗證連接到數據庫，這意味着我將失去Kerbeos身份驗證的好處。

或者我應該配置應用程序池以自己的身份運行&然後在連接字符串中使用集成安全性以獲得Windows安全性的好處？

Answer 1

如果您有選項，您應該運行應用程序池並使用集成安全性。 ＃2如果您的網站遭到黑客攻擊，這有利於不泄露您的密碼。但是，這不會阻止任何SQL注入類型的攻擊。

Answer 2

如果你對服務器有很大的控制權，那麼就使用windows身份驗證。雖然我不能說它是否「更好」，但我認爲這會更容易管理。