保护数据库连接字符串

时间:2013-05-30 20:49:08

标签: c# .net database security configuration

我正在寻找与存储和保护数据库连接字符串相关的一些建议和最佳实践建议。 App.config似乎是微软首选的处理应用程序配置的方式,但我在过去使用它时遇到了一些麻烦 - 或者我只是不理解背后的哲学。

对我来说,第一件事似乎是:从不以明文形式存储连接信息。然而,App.config始终是纯文本。避免在App.config中存储人类可读信息的唯一方法似乎是Protected Configuration。 但同样重要的是:如果有人部署应用程序,配置将以纯文本部署 - 加密(无需某些工具的帮助)似乎只有在应用程序首次启动时才有可能。

这对我来说似乎不安全,因为如果有人在第一次运行应用程序之前检出应用程序目录(存储配置的位置),他会以纯文本形式收到大量敏感信息。

另外:如何在作为无特权的默认用户运行的应用程序中保护配置? AFAIK保存应用程序设置需要管理员权限。

微软真的这么认为吗?或者微软是否提供了不同的方式?

1 个答案:

答案 0 :(得分:2)

您可以轻松加密web.config中的配置部分,

看起来像这样

<connectionStrings configProtectionProvider="RsaProtectedConfigurationProvider">
    <EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
      xmlns="http://www.w3.org/2001/04/xmlenc#">
      <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
        <EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
          <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
          <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
            <KeyName>Rsa Key</KeyName>
          </KeyInfo>
          <CipherData>
            <CipherValue>R7cyuRk+SXJoimz7wlOpJr/YLeADGnwJVcmElHbrG/B5dDTE4C9rzSmmTsbJ9Xcl2oDQt1qYma9L7pzQsQQYqLrkajqJ4i6ZQH1cmiot8ja7Vh+yItes7TRU1AoXN9T0mbX5H1Axm0O3X/285/MdXXTUlPkDMAZXmzNVeEJHSCE=</CipherValue>
          </CipherData>
        </EncryptedKey>
      </KeyInfo>
      <CipherData>
        <CipherValue>d2++QtjcVwIkJLsye+dNJbCveORxeWiVSJIbcQQqAFofhay1wMci8FFlbQWttiRYFcvxrmVfNSxoZV8GjfPtppiodhOzQZ+0/QIFiU9Cifqh/T/7JyFkFSn13bTKjbYmHObKAzZ+Eg6gCXBxsVErzH9GRphlsz5ru1BytFYxo/lUGRvZfpLHLYWRuFyLXnxNoAGfL1mpQM7M46x5YWRMsNsNEKTo/PU9/Jvnh/lT+GlcgCs2JRpyzSfKE7zSJH+TpIRtd86PwQ5HG3Pd2frYdYw0rmlmlI9D</CipherValue>
      </CipherData>
    </EncryptedData>
  </connectionStrings>

看看here&gt;你不需要一个工具来加密它,这可以很容易地在代码中完成,这是一种常见的做法。

相关问题
最新问题