日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SQLServer數(shù)據(jù)庫對連接字符串的安全性處理

本文我們主要介紹了關(guān)于SQL Server數(shù)據(jù)庫連接字符串的定義以及它的安全性問題的一些知識,接下來就讓我們一起來了解一下這一過程吧。

一、數(shù)據(jù)庫安全性

1)盡量使用Windows身份驗(yàn)證而不是SQL Server 驗(yàn)證。

安全容易管理:使用Windows身份驗(yàn)證:連接時需要寫一個Windows集成的安全性,連接時使用的是本機(jī)正在使用的用戶,或者是IIS正在連接到SQL Server的用戶。使用集成的用戶連接到SQL Server。在Web應(yīng)用程序,我們需要了解是哪個用戶連接到了SQL Server,默認(rèn)下,放在IIS的虛擬目錄應(yīng)用程序,用集成的身份驗(yàn)證訪問SQL Server,會通過IIS里的aspnet虛擬用戶訪問后臺的SQL數(shù)據(jù)庫。就需要指定它的權(quán)限來訪問數(shù)據(jù)庫。 如果通過希望客戶端,集成Windows身份驗(yàn)證,需要在IIS里面對這個用戶指定權(quán)限。Asp.net仍然后使用aspnet用戶,需要通過web.config模擬結(jié)點(diǎn)來配置,就可以將IE傳過來的用戶傳到后臺,但是注意連接過多的話,因?yàn)槊總€人連接集成不一樣,不會使用連接池。

使用SQL Server 驗(yàn)證:連接到后臺的SQL Server要知道哪個用戶,連接時需要輸入用戶名和密碼。

不需要在連接字符串中設(shè)置用戶名和密碼:在登錄時輸入用戶名和密碼,更加安全,由Windows控制。用戶名和密碼放在本機(jī)的數(shù)據(jù)庫里面,放在與環(huán)境里面。

可以通過密碼策略保證安全:比如:在域環(huán)境里面,指定密碼策略,保證密碼的復(fù)雜度,密碼不重復(fù)。

密碼不會通過明文在網(wǎng)絡(luò)中傳遞,集成Windows 身份驗(yàn)證:

 
 
 
    
  
  
  
  1. SqlClient : Integrated Security = true   or  Integrated Security = SSPI 
    2.   
  
  
  2.  
    3.   
  
  
  3. OleDb   :Integrated Security = true 
    4.   
  
  
  4.  
    5.   
  
  
  5. Odbc    :Trusted_Connection = yes ;  
    6.   
  
  
  6.  
    7.   
  
  
  7. OracleClient :Integrated Security = true 
    8.

二、定義連接字符串

1)Persist Security Info的默認(rèn)設(shè)置為 false。

2)如果將其設(shè)置為TRUE 或FALSE,則允許再打開連接后通過獲取安全敏感信息(包括用戶ID和密碼)確保的連接之后不會返回到應(yīng)用程序。

3)保持將Persist Security Info顯示的設(shè)置為false ,以確保不受信任的來源不能訪問連接字符串。

DEMO1: 修改Persist Security Info

 
 
 
    
  
  
  
  1. using System;  
    2.   
  
  
  2.  
    3.   
  
  
  3. using System.Data.SqlClient;  
    4.   
  
  
  4.  
    5.   
  
  
  5. namespace 修改Persist_Security_Info  
    6.   
  
  
  6.  
    7.   
  
  
  7. {  
    8.   
  
  
  8.  
    9.   
  
  
  9. class Program  
    10.   
  
  
  10.  
    11.   
  
  
  11. {  
    12.   
  
  
  12.  
    13.   
  
  
  13. static void Main(string[] args)  
    14.   
  
  
  14.  
    15.   
  
  
  15. {   
    16.   
  
  
  16.  
    17.   
  
  
  17. //persist Security Info = false 
    18.   
  
  
  18.  
    19.   
  
  
  19. SqlConnection conn2 = new SqlConnection("server=.;database=Test;uid =sa;pwd=sa; Persist Security Info = false");     
    20.   
  
  
  20.  
    21.   
  
  
  21. conn2.Open();  
    22.   
  
  
  22.  
    23.   
  
  
  23. if (!string.IsNullOrEmpty(conn2.ConnectionString))  
    24.   
  
  
  24.  
    25.   
  
  
  25. {  
    26.   
  
  
  26.  
    27.   
  
  
  27. Console.WriteLine(conn2.ConnectionString);  
    28.   
  
  
  28.  
    29.   
  
  
  29. }  
    30.   
  
  
  30.  
    31.   
  
  
  31. conn2.Close();  
    32.   
  
  
  32.  
    33.   
  
  
  33. //persist Security Info = true 
    34.   
  
  
  34.  
    35.   
  
  
  35. SqlConnection conn1 = new SqlConnection("server=.;database=Test;uid=sa;pwd=sa;Persist Security Info = true;");  
    36.   
  
  
  36.  
    37.   
  
  
  37. conn1.Open();  
    38.   
  
  
  38.  
    39.   
  
  
  39. if (!string.IsNullOrEmpty(conn1.ConnectionString))  
    40.   
  
  
  40.  
    41.   
  
  
  41. {  
    42.   
  
  
  42.  
    43.   
  
  
  43. Console.WriteLine(conn1.ConnectionString);  
    44.   
  
  
  44.  
    45.   
  
  
  45. }  
    46.   
  
  
  46.  
    47.   
  
  
  47. conn1.Close();  
    48.   
  
  
  48.  
    49.   
  
  
  49. }  
    50.   
  
  
  50.  
    51.   
  
  
  51. }  
    52.   
  
  
  52.  
    53.   
  
  
    54.

三、連接字符串的注入式攻擊 

有些連接是通過SQL Server身份驗(yàn)證連接的,比如:企業(yè)里面的Windows應(yīng)用程序,輸入用戶名密碼就是登錄(SQL Server的用戶名和密碼),權(quán)限(能看哪些數(shù)據(jù),不能看哪些數(shù)據(jù))是通過SQL Server來控制的。

1)類似于SQl 注入式攻擊。

2)在連接字符串中通過封號來加入其他的參數(shù)。

3)例如: str = constr ="server= .; database=Test;uid =sa ;pwd="+password ;輸入的是: password= "sa; Pooling = true ;Min Pool Size = 999999 ; Max Pool Szzie = 999999;"

解決方法——>使用連接字符串生成器

1)ADO.NET2.0 為不同數(shù)據(jù)庫提供程序引入了新的連接字符串生成器

2)從DbConnectionStringBuilder繼承:

提供程序

ConnectionStringBuilder類

System.Data.SqlClient

SqlConnectionStringBuilder

System.Data.OleDb

OleDbConnectionStringBuilder

System.Data.Odbc

OdbcConnectionStringBuilder

System.Data.OracleClient

OracleConnectionStringBuilder

便于不同數(shù)據(jù)庫提供程序連接字符串的編寫。

可以避免連接字符串注入式攻擊(還可以用 '.' 運(yùn)算符賦值)

DEMO2:連接字符串生成器。

 
 
 
    
  
  
  
  1. private void button1_Click(object sender, EventArgs e)  
    2.   
  
  
  2.  
    3.   
  
  
  3. {  
    4.   
  
  
  4.  
    5.   
  
  
  5. SqlConnectionStringBuilder builder = new SqlConnectionStringBuilder();  
    6.   
  
  
  6.  
    7.   
  
  
  7. builder.DataSource = txtServer.Text.Trim();  
    8.   
  
  
  8.  
    9.   
  
  
  9. builder.InitialCatalog = txtDb.Text.Trim();  
    10.   
  
  
  10.  
    11.   
  
  
  11. builder.UserID = txtDb.Text.Trim();  
    12.   
  
  
  12.  
    13.   
  
  
  13. builder.Password = txtPwd.Text.Trim();  
    14.   
  
  
  14.  
    15.   
  
  
  15. this.txtConStr.Text = builder.ConnectionString;   
    16.   
  
  
  16.  
    17.   
  
  
    18.

四、存儲連接字符串

將整個連接字符串存儲,不希望被查看連接字符串。

方法一:放在一個不知道的地方

方法二:加密

連接字符串存儲在:

1)配置文件(不隱蔽)。

2)COM+Catalog。

3)Windows注冊表里面。

4)自定義文件結(jié)構(gòu)。

DEOM3:在配置文件中存儲連接字符串。

Load事件:

 
 
 
    
  
  
  
  1. private void Form1_Load(object sender, EventArgs e)  
    2.   
  
  
  2.  
    3.   
  
  
  3. {  
    4.   
  
  
  4.  
    5.   
  
  
  5. //連接字符串直接保存在 App.config里面  
    6.   
  
  
  6.  
    7.   
  
  
  7. ConnectionStringSettings settings =  ConfigurationManager.ConnectionStrings["strCon"];  
    8.   
  
  
  8.  
    9.   
  
  
  9. this.textBox1.Text = settings.ConnectionString;  
    10.   
  
  
  10.  
    11.   
  
  
  11. //連接通過configSource保存在 connectionString.config  
    12.   
  
  
  12.  
    13.   
  
  
  13. this.txtCon.Text = ConfigurationManager.AppSettings["conn"].ToString();  
    14.   
  
  
  14.  
    15.   
  
  
  15. }  
    16.   
  
  
  16.  
    17.   
  
  
  17. App.config:  
    18.   
  
  
  18.  
    19.   
  
  
  19.  
    20.   
  
  
  20.  
    21.   
  
  
  21.  
    22.   
  
  
  22.  
    23.   
  
  
  23.  
    24.   
  
  
  24.  
    25.   
  
  
  25.  
    26.   
  
  
  26.  
    27.   
  
  
  27.  
    28.   
  
  
  28.  
    29.   
  
  
  29.  
    30.   
  
  
  30.  
    31.   
  
  
  31.  
    32.   
  
  
  32.  
    33.   
  
  
  33.  
    34.   
  
  
  34.  
    35.   
  
  
  35. connectionString.config:  
    36.   
  
  
  36.  
    37.   
  
  
  37.  
    38.   
  
  
  38.  
    39.   
  
  
  39.  
    40.   
  
  
  40.  
    41.   
  
  
  41.  
    42.

五、加密連接字符串

.NET當(dāng)中的加密算法:

1)對稱算法(3DES)  :保存密鑰。

2)非對稱算法(RSA) :通過公鑰(保存在XML里面)控制加密解密。

3)數(shù)據(jù)保護(hù)(DPAPI)   :不是加密算法,而是使用DPAPI(一個WindowsAPI,數(shù)據(jù)保護(hù)的API,使用Windows本機(jī)用戶的安全性)。

六、受保護(hù)的配置

1)使用受保護(hù)配置對連接字符串值進(jìn)行加密的配置文件不以明文形式顯示連接字符串, 而是以加密形式存儲它們。

2)在對頁進(jìn)行請求時在對頁進(jìn)行請求時,.NET Framework 對連接字符串信息進(jìn)行解密,并使其可供應(yīng)用程序使用。

創(chuàng)建配置

1)ASP.NET IIS 注冊工具(Aspnet_regiis.exe)

–  對Web.config文件(其他的文件也是一樣的)的節(jié)進(jìn)行加密和解密、創(chuàng)建或刪除密鑰容器、導(dǎo)出和導(dǎo)入密鑰容器信息以及管理對密鑰容器的訪問。

2)System.Configuratiion 命名空間中的受保護(hù)配置命名空間中的類。

– DPAPIProtectedConfigurationProvider。使用Windows 數(shù)據(jù)保護(hù)API (DPAPI) 對數(shù)據(jù)進(jìn)行加密和解密。

– RsaProtectedConfigurationProvider 。使用RSA 加密算法對數(shù)據(jù)進(jìn)行加密和解密。

關(guān)于SQL Server數(shù)據(jù)庫連接字符串的安全性問題就介紹到這里了,希望本次的介紹能夠?qū)δ兴鶐椭?/p>
本文標(biāo)題:SQLServer數(shù)據(jù)庫對連接字符串的安全性處理
文章位置:http://www.dlmjj.cn/article/cocgeeg.html