при разработке приложений Windows:
Как защитить имя пользователя и пароль в строке подключения?
Такие организации, как банки, будут ли они выдавать имя пользователя и пароль своей БД разработчикам приложений? если не обычно, как эти разработчики приложений пишут подключения к БД?
Каков отраслевой стандарт защиты пользователя и пароля в строке подключения?
Благодарность
- Как защитить имя пользователя и пароль в строке подключения?
Либо используйте проверку подлинности Windows, чтобы исключить необходимость в пароле в строке подключения, либо используйте комбинацию одного или нескольких из следующих вариантов:
Шифрование, например используя Защищенную конфигурацию.
Ограничьте доступ к файлу конфигурации, например используя ACL.
Обратите внимание, что описанные выше методы хорошо работают для серверных приложений (например, ASP.NET), где доступ к серверу может быть ограничен авторизованными администраторами. Это плохо работает для клиентских приложений, которые напрямую обращаются к базе данных.
Отметим также, что одного шифрования недостаточно: оно просто заменяет проблему контроля доступа к файлу конфигурации с открытым текстом на проблему контроля доступа к ключам шифрования. При использовании защищенной конфигурации вам необходимо решить, как ограничить доступ к ключам шифрования, используемым для шифрования вашего файла конфигурации.
2. Могут ли такие организации, как банки, сообщать разработчикам приложений имя пользователя и пароль своей БД? если не обычно, как эти разработчики приложений пишут подключения к БД?
Как правило, разработчикам предоставляются учетные данные только для доступа к базам данных в среде разработки / тестирования. Доступ к производственным базам данных будет ограничен.
3. Каков отраслевой стандарт защиты пользователя и пароля в строке подключения?
Не существует "отраслевого стандарта", но см. Ответ на вопрос 1.
Вы можете зашифровать разделы в app.config. так же, как web.config. MS называет это защищенной конфигурацией. Нравится
<connectionStrings configProtectionProvider="DataProtectionConfigurationProvider">
<EncryptedData>
<CipherData>
<CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAH2... </CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
Из MSDN:
ASP.NET 2.0 представила новую функцию, называемую защищенной конфигурацией, которая позволяет вам зашифровать конфиденциальную информацию в файле конфигурации. Защищенная конфигурация, разработанная в первую очередь для ASP.NET, также может использоваться для шифрования разделов файла конфигурации в приложениях Windows. Подробное описание возможностей защищенной конфигурации см. На странице Шифрование информации о конфигурации с помощью защищенной конфигурации.
Следующий фрагмент файла конфигурации показывает раздел connectionStrings после того, как он был зашифрован. ConfigProtectionProvider указывает поставщик защищенной конфигурации, используемый для шифрования и дешифрования строк подключения. Раздел EncryptedData содержит зашифрованный текст.
<connectionStrings configProtectionProvider="DataProtectionConfigurationProvider">
<EncryptedData>
<CipherData>
<CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAH2... </CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
Когда зашифрованная строка подключения извлекается во время выполнения, .NET Framework использует указанного поставщика, чтобы расшифровать CipherValue и сделать его доступным для вашего приложения. Вам не нужно писать дополнительный код для управления процессом дешифрования. Прочтите следующую статью на MSDN для получения дополнительной информации:
Строки подключения и файлы конфигурации
Вам следует использовать параметры.
пример SqlCommand command = new SqlCommand ("выберите * из входа, где имя пользователя = @name", conn); command.Parameters.Add (новый SqlParameter ("@ name", uname.txt)); .
