为什么要加密web.config中的连接字符串?如果我没有弄错,IIS不会提供web.config,如果有人能够入侵你的服务器获取web.config,那么它已经是GG了。是否有任何理由加密web.config中的任何内容?不是没必要吗?
答案 0 :(得分:5)
您不能排除网站被盗用 - 这并不意味着您的数据库也会受到损害。 此外,您不希望Web管理员知道数据库的密码。
您需要记住浏览器无法获取配置文件只是因为.config扩展名在IIS元数据的限制列表中。有可能以其他方式从服务器获取它们,或者某些错误配置问题可能允许它们被下载。
答案 1 :(得分:1)
我认为这更像是组织问题/合规性。
例如,您可能拥有可以访问“实时”数据的“生产”团队/提升职位,而开发人员可能只通过应用程序进行只读访问,而您宁愿他们没有用户名/ password - ergo,加密连接字符串。
或者,如果不满/没有思想,请将web.config发送到mates / home / hotmail,这意味着所有人都无法获取用户名/密码来访问数据库。
最终,它只是另一层安全 - 为什么当你锁上前门时你的驱动器有一个门? (如果你有一个带门的驱动器!)