2. 程式人生 > >處理連接字符串的安全性

處理連接字符串的安全性

阿新 發佈:2017-08-30
sam sspi size 更改密碼 新的 pool 導入 conf 加密算法

1. 數據庫安全性
 1.1. 盡量使用 Windows 身份驗證而不是 SQL Server 驗證
  – 安全容易管理
  –不需要在連接字符串中設置用戶名和密碼
  – 可以通過密碼策略保證安全
  – 密碼不會通過明文在網絡中傳遞

 1.2. 集成 Windows 身份驗證
 提供程序          語法
 SqlClient       Integrated Security=true;
           -- or --
           Integrated Security=SSPI;
 OleDb       Integrated Security=SSPI;
 Odbc        Trusted_Connection=yes;
 OracleClient     Integrated Security=yes;

 1.3. SQL Server 身份驗證
 ? SQL Server 身份驗證
  –強制實施密碼策略
  – 強制密碼過期
  –用戶在下次登錄時必須更改密碼  

2. 定義連接字符串
 ? Persist Security Info 關鍵字的默認設置為false。
 ? 如果將其設置為true 或yes,則允許在打開連接後通過連接獲取安全敏感信息(包括用戶ID 和密碼)。
 ? 保持將PersistSecurity Info 設置為false,以確保不受信任的來源不能訪問敏感的連接字符串信息。

3. 防止註入式攻擊

3.1. 連接字符串註入式攻擊
 ? 類似於 SQL 註入式攻擊
 ? 在連接字符串中通過分號(;)來加入其它參數
 ? 例如:連接字符串通過下面方式拼接:
  string constr = “server=(local);database=Northwind;
  uid=sa;pwd=“ + password;
  而輸入
  password=“password01!;Pooling=true;Min Pool Size=999999;Max Pool Size=999999;”

3.2. 連接字符串生成器
 ? ADO.NET 2.0 為每個 .NET Framework 數據提供程序引入了新的連接字符串生成器
 ? 從DbConnectionStringBuilder 繼承
 提供程序           ConnectionStringBuilder 類
 System.Data.SqlClient     SqlConnectionStringBuilder
 System.Data.OleDb     OleDbConnectionStringBuilder
 System.Data.Odbc       OdbcConnectionStringBuilder
 System.Data.OracleClient   OracleConnectionStringBuilder

3.3.  避免連接字符串註入式攻擊

System.Data.SqlClient.SqlConnectionStringBuilder builder = new
System.Data.SqlClient.SqlConnectionStringBuilder();
builder["Data Source"] = "(local)";
builder["integrated Security"] = true;
builder["Initial Catalog"] = "AdventureWorks;NewValue=Bad";
Console.WriteLine(builder.ConnectionString);

輸出結果:

data source=(local);Integrated Security=True; initial
catalog="AdventureWorks;NewValue=Bad"

4. 存儲連接字符串

 ? 連接字符串可以存儲在
  –配置文件
  – COM+ Catalog
  – Windows 註冊表
  – 自定義文件結構

5. 加密連接字符串

 ? .NET 當中的加密算法
  –對稱算法(RSA)
  – 非對稱算法(3DES)
  –數據保護(DPAPI)

6. 受保護的配置

 ? 使用受保護配置對連接字符串值進行加密的配置文件不以明文形式顯示連接字符串,而是以加密形式存儲它們
 ? 在對頁進行請求時,.NET Framework 對連接字符串信息進行解密,並使其可供應用程序使用

6.1. 創建配置
 ? ASP.NET IIS 註冊工具 (Aspnet_regiis.exe)
  – 對Web.config 文件的節進行加密和解密、創建或刪除密鑰容器、導出和導入密鑰容器信息以及管理對密鑰容器的訪問
 ? System.Configuration 命名空間中的受保護配置類
  – DPAPIProtectedConfigurationProvider。使用Windows 數據保護API (DPAPI) 對數據進行加密和解密
  – RsaProtectedConfigurationProvider。使用RSA 加密算法對數據進行加密和解密

6.2. 加密與解密 Web 配置節
 ? 加密Web 配置節
  – aspnet_regiis -pe "connectionStrings" -app
  "/SampleApplication" -prov
  "RsaProtectedConfigurationProvider“
 ? 解密Web 配置節
  – aspnet_regiis -pd "connectionStrings" -app
  "/SampleApplication"

處理連接字符串的安全性

相關推薦

處理安全性

sam sspi size 更改密碼 新的 pool 導入 conf 加密算法 1. 數據庫安全性 1.1. 盡量使用 Windows 身份驗證而不是 SQL Server 驗證  – 安全容易管理  –不需要在連接字符串中設置用戶名和密碼  – 可以通過密碼策略保證安全

C# 數據庫拼接

word nec 連接字符串 for class database mat c# pass string connectionString = string.Format(@"Data Source={0};User ID={1};Password={2};Initia

asp.net與oracle

protocol cti rip logs oracl lis tns string oracle數據庫 asp.net與oracle連接字符串   connectionString="Password=czh;User ID=czh;Data Source=(DESCR

什麽情況下用+運算進行串連比調用StringBuffer/StringBuilder對象的append方法性能更好?

字符串拼接 build 字符串 字符串連接 操作 重新 運算 運算符 對象存儲 String一旦賦值或實例化後就不可更改,如果賦予新值將會重新開辟內存地址進行存儲。而StringBuffer類使用append和insert等方法改變字符串值時只是在原有對象存儲的內存地址上進

ASP.NET沒有魔法——ASP.NET MVC 與數據庫之EntityFramework配置與

client frame view 必須 多個數據庫 epo get base fault   前幾篇文章中介紹了如何使用Entity Framework來操作數據庫,但是對EF的配置、連接字符串的指定仍然存在一些疑問。  本章將對EF的配置進行介紹。  EF可以通過兩種方

ASP.NET MVC Identity 兩個多個問題解決一例

fail conn init led user asp identity 字符串 initial 按照ASP.NET MVC Identity建立了一個用戶權限管理模塊,由於還要加自己已有的數據庫,所以建立了一個實體模型,建立了之後,發現登錄不了: 一直顯示“Login i

C# 讀取web.config配置文件 讀取

app 讀取 val col .config cti ngs 配置文件 pan 1. <connectionStrings> <add name="mysql" connectionString="localhost" providerNa

EF在應用程序配置文件中找不到名為“XXX”的

tip result set model ssd del 一份 metadata log 現象: 在配置EF的時候需要如題所述的問題,仔細檢查了在EF實體模型對應程序集下的APP.Config文件中的ConnectionString配置項有了XXX項的數據庫字符串的配置:

MYSQL參數解析(解釋)

PE 都是 none use AR 字符 ignore utf8 initial 被迫轉到MySQL數據庫,發現讀取數據庫時,tinyint類型的值都被轉化為boolean了,這樣大於1的值都丟失,變成true了。查閱資料MySQL中無Boolean類型,都是存儲為ti

詳解MySQL中concat函數的用法(

連接 container 使用方法 字符串 border IT 冗余 str () MySQL中concat函數 使用方法: CONCAT(str1,str2,…) 返回結果為連接參數產生的字符串。如有任何一個參數為NULL ,則返回值為 NULL。

數據庫

SQ catalog ring 大小 pan 連接 包含 str 允許 一 SQL Server Windows身份驗證: Data Source=ServerName;Integrated Security=True; SQL Server 身份驗證: Data Sour

Mysql

提示 線程數 取出 自動 至少 pos AD 數據庫連接 新建 <connectionStrings> <add name="MySqlConn" connectionString="Database=Demo;Data Source=192.168

DDD實戰8_1 實現對領域中的可配置

圖片 setting start pps src onf 技術分享 pset alt 1.在webapi的配置文件中配置連接字符串節 2.在webapi的startup類中的Configure方法中 將工具類裏面AppSetting的靜態Section的值 對應上weba

JDBC中Oracle的SID和ServiceName兩種方式的格式

bottom none color bubuko div nbsp rac 字符串 padding SID格式: jdbc:oracle:thin:@<host>:<port>:<SID> 如: jdbc:oracle:thin:@19

sql

connect col add conn 字符 test base bsp cti * MySql <connectionStrings> <add name="constr" connectionString="Server=127.0.

Access數據庫的

數據庫 web ngs 窗體 mdb 數據 microsoft end ide 來自森大科技官方博客 http://www.cnsendblog.com/index.php/?p=92 連接Access數據庫的連接字符串 1. 把數據庫文件放在App_Data文件夾中,W

訪問Mysql數據庫,配置

string cal -s exception connect start static try tab Step1:App.config文件裏進行配置 <?xml version="1.0" encoding="utf-8" ?> <configura

(C# SQL Server) 數據庫

serve 遠程 system frame catalog 允許 provider win32 init Debug 一個SQL Server 2008 數據庫連接的問題,老是提示: [67944] System.Data.SqlClient.SqlException (0

【MySQL】SQLServer、MySQL中JDBC驅動和

lse serve ger trace mys nec mic exc jdbc public class JdbcTest { public static void main(String[] args) { String dbURL

Python用join還是+

print 操作 過多 上一個 運行 結果 code rom 為什麽 我們先來看一下用join和+連接字符串的例子 str1 = " ".join(["hello", "world"]) str2 = "hello " + "world" print(str1) # 輸出