在ASP.NET 2.0中操作数据之七十一:保护连接字符串及其它设置信
|
假想某个攻击者可以查看你的应用程序的Web.config文件。如果你使用的是SQL authentication模式通过Internet连接到数据库,攻击者可以利用连接字符串通过SQL Management Studio或他自己网站上的ASP.NET页面连接到你的数据库.为降低风险,我们需要对Web.config文件的连接字符串进行加密. 注意:关于SQL Server里不同认证模式的更多信息应参阅文章《Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication》(http://msdn2.microsoft.com/en-us/library/aa302392.aspx);关于Windows 和 SQL authentication不同之处的更多示例,应参阅ConnectionStrings.com网站. 结语: 默认情况下,ASP.NET应用程序里的所有以.config为后缀的文件都不能通过浏览器访问.这是因为这些文件可能包含了一些敏感信息,比如:数据库连接字符串、用户名和密码等。 .NET 2.0包含的保护配置系统可以通过对指定的配置节点进行加密来加以保护.有2种内置的protected configuration providers:一个使用RSA运算法则,而另一个使用Windows Data Protection API (DPAPI). 本文考察了使用DPAPI provider来对配置信息进行加密和解密.我们可以通过编程的方式,就像在第2步探讨的那样;也可以通过使用aspnet_regiis.exe命令行工具,就像在第3步探讨的那样。关于使用RSA provider及用户级密匙的更多信息请参考本文的外延阅读. 祝编程快乐! 作者简介 本系列教程作者 Scott Mitchell,著有六本ASP/ASP.NET方面的书,是4GuysFromRolla.com的创始人,自1998年以来一直应用 微软Web技术。大家可以点击查看全部教程《[翻译]Scott Mitchell 的ASP.NET 2.0数据教程》,希望对大家的学习ASP.NET有所帮助。 (编辑:淮北站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
