4
當開發Windows應用程序:連接字符串中用戶名和密碼的安全性如何?
我的連接字符串中如何保護用戶名和密碼?
像銀行這樣的組織,他們會嚮應用程序開發人員提供他們數據庫的用戶名和密碼嗎?如果不是典型的應用程序開發人員如何編寫DB連接?
保護連接字符串中用戶和密碼的行業標準是什麼?
感謝
A
回答
3
- 我的連接字符串中如何保護用戶名和密碼?
使用Windows身份驗證,以消除在連接字符串中密碼的需要,或者使用一個或多個的組合:
加密,例如使用Protected Configuration。
限制對配置文件的訪問,例如,使用ACL。
請注意,上述技術適用於服務器應用程序(例如ASP.NET),其中對服務器的訪問權限可以限制爲授權管理員。對於直接訪問數據庫的客戶端應用程序來說效果不佳。
還要注意,加密本身還不夠:它僅僅是通過控制對加密密鑰的訪問問題來代替控制對純文本配置文件的訪問的問題。使用受保護的配置時,您需要決定如何限制對用於加密配置文件的加密密鑰的訪問。
2. 像銀行這樣的組織,他們會把應用程序開發人員的用戶名和密碼發給他們嗎?如果不是典型的應用程序開發人員如何編寫DB連接?
一般情況下,開發人員只能獲得在開發/測試環境中訪問數據庫的憑據。訪問生產數據庫將受到限制。
3. 保護連接字符串中用戶和密碼的行業標準是什麼?
沒有「行業標準」,但見回答問題1
0
從MSDN:
ASP.NET 2.0中引入了新的功能,稱爲保護配置,使您能夠加密的配置文件中的敏感信息。儘管主要是爲ASP.NET設計的,但受保護的配置也可用於加密Windows應用程序中的配置文件部分。有關受保護配置功能的詳細說明,請參閱Encrypting Configuration Information Using Protected Configuration。
以下配置文件片段在加密後顯示connectionStrings節。 configProtectionProvider指定用於加密和解密連接字符串的受保護配置提供程序。 EncryptedData部分包含密文。
<connectionStrings configProtectionProvider="DataProtectionConfigurationProvider">
<EncryptedData>
<CipherData>
<CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAH2... </CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
當加密的連接字符串是在運行時檢索,.NET框架使用指定的供應商來解密的CipherValue,並將其提供給您的應用程序。您不需要編寫任何其他代碼來管理解密過程。 閱讀MSDN下面的文章請以獲取更多信息:
0
您應該使用的參數。 SqlCommand command = new SqlCommand(「select * from Login where Username = @name」,conn);}} command.Parameters.Add(new SqlParameter(「@ name」,uname.txt)); 。
+0
這不關於保護連接字符串數據 –
+0
我認爲OP正在尋找如何加密用戶和傳遞*連接*到數據庫,而不是選擇一個用戶並從數據庫傳遞*。 – paqogomez
+0
好的。我在你提到的有關測試環境的第二個答案中我的錯誤 – user3229034
1
您可以在app.config中使用與web.config相同的方式encrypt sections。 MS稱其爲保護配置。 像這樣
<connectionStrings configProtectionProvider="DataProtectionConfigurationProvider">
<EncryptedData>
<CipherData>
<CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAH2... </CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
相關問題
- 1. mongodb - 用戶連接字符串,安全密碼
- 2. 動態提供連接字符串的用戶名和密碼
- 3. 隱藏連接字符串和mysql的安全密碼
- 4. 如何在URL連接字符串中定義用戶名和密碼?
- 5. 如何提示輸入連接字符串的用戶名和密碼?
- 6. 在sqlserver連接字符串中的用戶名,密碼和其他參數
- 7. 關於用戶名和密碼安全
- 8. 如何使用用戶名和密碼安全驗證用戶?
- 9. web.config中的連接字符串安全
- 10. 如何添加安全性(用戶名,密碼)的Grails
- 11. 使用ASIHTTPRequest的「用戶名」和「密碼」屬性安全嗎?
- 12. 連接帶/ JMX通過用戶名安全密碼
- 13. 的fopen用戶名和密碼的安全性
- 14. 從連接字符串獲取用戶名和密碼的正確方法?
- 15. SQL連接字符串忽略指定的用戶名和密碼?
- 16. 如何在git存儲庫上保持ASP.net連接字符串密碼安全?
- 17. Java中的密碼安全性 - 將char []轉換爲字符串
- 18. Excel VBA:獲取連接字符串的用戶數據庫登錄名/密碼的安全方法?
- 19. 在密碼字符串中搜索用戶名子字符串
- 20. php安全,typopast密碼到字符串
- 21. Microsoft Access 2010和ODBC連接字符串安全性
- 22. SharePoint 2010 BCS忽略連接字符串中的用戶名/密碼
- 23. 匿名用戶的連接字符串
- 24. 爲HTTPS使用同步NSURL連接安全嗎? (URL中的用戶名/密碼)
- 25. 如何連接使用的用戶名和密碼
- 26. 什麼是asp.net連接字符串中的集成安全性
- 27. 保存用戶名密碼與NSUserDefault,如何和多少安全?
- 28. 如何隱藏我的C#連接字符串中的密碼?
- 29. C++字符串文字的安全性和可靠性如何?
- 30. 如何連接到需要用戶名和密碼的網站
我相信你的意思是一組與原始平行的虛擬數據? –
@sniff_bits - 開發/測試數據庫中的數據取決於組織。如果生產數據是保密的,它可能是虛擬數據,或者可能是生產數據的匿名版本。如果它不是機密的,它可能只是生產數據的快照。 – Joe
@Joe:我想將我的應用程序部署到**最終用戶**。如何使用連接到集中式SQL服務器來保護用戶名/密碼?正如你所寫的那樣:「對於直接訪問數據庫的客戶端應用程序來說效果不佳。」 – YukiSakura