存储用户名和安全性是否安全web.config文件中的密码作为ASP.NET MVC应用程序中的其他参数,即超时时间等?如果没有,是否可以使这些参数安全,以便它们不能在已发布服务器上的web.config文件中编码?另一方面,您是否建议存储用户名&密码和类(* .cs)文件中的其他常量参数作为静态值?能否请您澄清哪种方法更好以存储这些参数?
答案 0 :(得分:1)
检查以下链接:
http://www.4guysfromrolla.com/articles/021506-1.aspx
http://www.aspnettutorials.com/tutorials/advanced/encrypt-conn-str-asp4-cs.aspx
更好的是,不要使用SQL Server安全性,而是使用集成安全性,只允许运行Web应用程序(池)的帐户访问数据库。
答案 1 :(得分:1)
绝不应将敏感数据存储在源代码中。您可以使用configSource属性替换整个<connectionStrings>标记。
<connectionStrings configSource="ConnectionStrings.config">
</connectionStrings>
ConnectionStrings.config应与Web.config位于同一文件夹中。最好保留扩展名.config,因为IIS不提供配置文件。
版本控制系统必须忽略此文件。