也许我理解这一切都错了,但据我所知,保护连接字符串的最佳方法是加密它,现在我有了这些问题。
问题1:
加密是否可以在共享托管环境中工作?
问题2:
如果我有FTP服务,任何用户都可以上传ASPX文件并通过配置管理器命名空间检索连接字符串吗?
答案 0 :(得分:5)
问题1:
你在保护你的连接字符串是什么?
如果它是针对黑客等的,如果web.config可用,那么您的系统已经受到了损害,您无能为力。
如果是针对偶然的观察者(即编码员),即使像base64编码这样简单的东西也会有所帮助。
问题2:
您不应该允许您的用户将文件上传到可以执行aspx文件的目录 - 这样用户就可以他们想要的任何。
答案 1 :(得分:5)
1:我不明白为什么不。
2:可能,虽然你应该采取措施来防止这种情况发生。我发现最好的方法是使用Windows身份验证并设置应用程序池的标识,以在IIS中使用专用的,锁定的Windows帐户。这样,您的连接字符串将永远不会包含密码。
答案 2 :(得分:1)
不是你的2个问题的答案,但是: 保护连接字符串的最佳方法是没有在连接字符串中需要密码的连接。 NTLM或类似产品更加安全。除此之外,如果用户可以访问FTP - 加密是所谓的安全性,可以很容易地反转。