web.config 中的连接字符串安全性

【问题标题】:Connection string security in web.configweb.config 中的连接字符串安全性
【发布时间】:2012-02-23 17:29:42
【问题描述】:

我有一个要公开的网站,它在 IIS 7.5 中在其自己的应用程序池下运行。在站点的 web.config 中有一个未加密的到 sql 数据库的连接字符串。

以自己的身份运行应用程序池然后在web.config中使用sql身份验证连接到数据库是否更好,这意味着我将失去对db的Kerbeos身份验证的好处。

或者我应该将应用程序池配置为以自己的身份运行,然后在连接字符串中使用集成安全性以获得 Windows 安全性的好处?

【问题讨论】:

    标签: sql-server security iis


    【解决方案1】:

    如果可以选择,您应该运行应用程序池并使用集成安全性。 #2 如果您的网站遭到黑客攻击,这样做的好处是不会泄露您的密码。但是,这不会阻止任何 SQL 注入类型的攻击。

    【讨论】:

      【解决方案2】:

      如果您对服务器有足够的控制权,那么请使用 Windows 身份验证。虽然我不能说它是否“更好”,但我认为它会更容易管理。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2015-08-19
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode