这可以通过webform或winform来询问......
我有一个需要访问数据库的.net程序(exe)。 (通过互联网)
当然这个数据库需要密码和登录。
访问数据库的最佳做法是什么,用fiddler,反射器等看不到...?
我认为唯一的解决方案是使用ssl +加密连接字符串部分并在运行时解除它...
有没有更好的解决方案?
答案 0 :(得分:2)
如果这是攻击者正在运行的.exe,那么他可以使用调试器来获取用户名/密码。如果此.exe在您信任的计算机上运行,并且攻击者只能在网络上存在,那么SSL就是完美的。
深度防御方法是,除非必须,否则您不应信任应用程序的任何部分。当攻击者攻击您的应用程序时,他将使用您的应用程序在功能上对您不利。
如何做到这一点是创建一个API,例如RESTful或SOAP API来访问数据存储区。像SQL注入这样的漏洞一直是一个严重的问题,但是给攻击者一个原始的数据库连接会更糟。