处理连接字符串的安全性

最新推荐文章于 2021-08-13 02:05:26 发布
最新推荐文章于 2021-08-13 02:05:26 发布
阅读量165 收藏
点赞数
文章标签: 操作系统 数据库
原文链接:http://www.cnblogs.com/lxh168/p/7455275.html
版权

1. 数据库安全性
 1.1.  尽量使用 Windows 身份验证而不是 SQL Server 验证
  – 安全容易管理
  –不需要在连接字符串中设置用户名和密码
  – 可以通过密码策略保证安全
  – 密码不会通过明文在网络中传递

 1.2. 集成 Windows 身份验证
 提供程序          语法
 SqlClient       Integrated Security=true;
           -- or --
           Integrated Security=SSPI;
 OleDb          Integrated Security=SSPI;
 Odbc        Trusted_Connection=yes;
 OracleClient     Integrated Security=yes;

 1.3. SQL Server 身份验证
 • SQL Server 身份验证
  –强制实施密码策略
  – 强制密码过期
  –用户在下次登录时必须更改密码  

2. 定义连接字符串
 • Persist Security Info 关键字的默认设置为false。
 • 如果将其设置为true 或yes,则允许在打开连接后通过连接获取安全敏感信息(包括用户ID 和密码)。
 • 保持将PersistSecurity Info 设置为false,以确保不受信任的来源不能访问敏感的连接字符串信息。

3. 防止注入式攻击

  3.1. 连接字符串注入式攻击
 • 类似于 SQL 注入式攻击
 • 在连接字符串中通过分号(;)来加入其它参数
 • 例如:连接字符串通过下面方式拼接:
  string constr = “server=(local);database=Northwind;
  uid=sa;pwd=“ + password;
  而输入
  password=“password01!;Pooling=true;Min Pool Size=999999;Max Pool Size=999999;”

  3.2. 连接字符串生成器
 • ADO.NET 2.0 为每个 .NET Framework 数据提供程序引入了新的连接字符串生成器
 • 从DbConnectionStringBuilder 继承
 提供程序           ConnectionStringBuilder 类
 System.Data.SqlClient      SqlConnectionStringBuilder
 System.Data.OleDb     OleDbConnectionStringBuilder
 System.Data.Odbc       OdbcConnectionStringBuilder
 System.Data.OracleClient   OracleConnectionStringBuilder

  3.3.  避免连接字符串注入式攻击

System.Data.SqlClient.SqlConnectionStringBuilder builder = new
System.Data.SqlClient.SqlConnectionStringBuilder();
builder["Data Source"] = "(local)";
builder["integrated Security"] = true;
builder["Initial Catalog"] = "AdventureWorks;NewValue=Bad";
Console.WriteLine(builder.ConnectionString);

输出结果:

data source=(local);Integrated Security=True; initial
catalog="AdventureWorks;NewValue=Bad"

4. 存储连接字符串

 • 连接字符串可以存储在
  –配置文件
  – COM+ Catalog
  – Windows 注册表
  – 自定义文件结构

5. 加密连接字符串

 • .NET 当中的加密算法
  –对称算法(RSA)
  – 非对称算法(3DES)
  –数据保护(DPAPI)

6. 受保护的配置

 • 使用受保护配置对连接字符串值进行加密的配置文件不以明文形式显示连接字符串,而是以加密形式存储它们
 • 在对页进行请求时,.NET Framework 对连接字符串信息进行解密,并使其可供应用程序使用

 6.1. 创建配置
 • ASP.NET IIS 注册工具 (Aspnet_regiis.exe)
  – 对Web.config 文件的节进行加密和解密、创建或删除密钥容器、导出和导入密钥容器信息以及管理对密钥容器的访问
 • System.Configuration 命名空间中的受保护配置类
  – DPAPIProtectedConfigurationProvider。使用Windows 数据保护API (DPAPI) 对数据进行加密和解密
  – RsaProtectedConfigurationProvider。使用RSA 加密算法对数据进行加密和解密

 6.2. 加密与解密 Web 配置节
 • 加密Web 配置节
  – aspnet_regiis -pe "connectionStrings" -app
  "/SampleApplication" -prov
  "RsaProtectedConfigurationProvider“
 • 解密Web 配置节
  – aspnet_regiis -pd "connectionStrings" -app
  "/SampleApplication"

转载于:https://www.cnblogs.com/lxh168/p/7455275.html

weixin_30627341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
字符串拼接-容易被忽视的代码性能陷阱
D_19901719576的博客
12-10 439
字符串拼接-被忽视的代码性能陷阱本文主旨从0开始探索字符串拼接方式一、String方式二、StringBuilder方式三、StringBuffer思考1、 String 的字符串连接操作为什么慢呢?2、 StringBuilder 和 StringBuffer 为什么快呢?3、 StringBuilder 为什么比 StringBuffer 还要快呢? 本文主旨 通过JMH(一个牛逼的基准测试工...
C#数据库连接字符串加密方法
06-08
本文将深入探讨如何在C#中对数据库连接字符串进行加密,以确保数据的安全性。 首先,我们来了解App.config文件。在.NET框架中,App.config是用于存储应用程序配置信息的文件,包括数据库连接字符串。在项目启动时,...
连接字符串问题_连接字符串
IT与开发人员的地盘
07-07 269
连接字符串问题 MsAccess-连接字符串 标准安全 oConn.Open"Provider=Microsoft.Jet.OLEDB.4.0;"&_ "DataSource=c:\somepath\myDb.mdb;"如果使用工作组(系统数据库) oConn.Open"Provider=Microsoft.Jet.OLEDB.4.0;...
确保数据库连接字符串安全性
hwy00的专栏
11-05 657
 可以利用这个类来限制对特定连接字符串的访问,既可以通过类的属性与方法进行限制,也可以通过代码访问安全性来进行限制。C#示例代码:爱普生专卖--->SqlClientPermission perm = new SqlClientPermission(PermissionState.None); perm.Add("Data So
关于数据库连接串的安全问题
11-18 1301
在.NET Data Access Architecture Guide一文中看到的几种保存ConnectionString的方法:In an application configuration file     优点:易部署,易编程控制,支持动态更新    缺点:安全性 In a Universal Data Link (UDL) file (supported only by th
【MySql】解除输入的安全模式
liu971655302的博客
10-23 1571
【MySQL笔记】解除输入的安全模式,Error Code: 1175. You are using safe update mode and you tried to update a table without a WHERE that uses a KEY column To disable safe mode, toggle the option in Preferences -> ...
c++实现strcat字符串连接库函数的方法详解
09-05
`std::string`类提供了`append`和`+`操作符,可以方便地连接字符串,并自动管理内存,避免了内存溢出的风险。例如: ```cpp std::string str1 = "Hello world"; std::string str2 = "Hello World"; str1 += str2; /...
《常见字符串处理函数》.docx
10-29
除此之外,还有其他常用的字符串处理函数,如`strcat`用于连接两个字符串,`strncat`用于限制连接的字符数,`strncpy`用于安全地复制部分字符串,`strchr`和`strstr`用于查找子字符串,以及`strtok`用于字符串的分隔...
浅谈C语言之字符串处理函数
09-01
在C语言中,字符串处理是编程中不可或缺的一部分。本文将探讨8种基本的字符串处理函数,它们在处理和操作字符数组时非常有用。这些函数在大多数C语言编译系统中都内置提供,使得程序员能够方便地对字符串进行各种...
C#开发SQL Server连接字符串构造及测试客户端软件源码.rar
01-27
总结,理解并正确构造SQL Server连接字符串是C#开发者必备的技能之一,而测试客户端软件则为验证这些连接字符串的有效性提供了便利。通过学习和实践,你可以更高效地进行数据库交互,并确保应用的稳定运行。
连接字符串包含带有明文密码的凭据并且未使用集成安全性
poloyzhang的专栏
11-13 1796
全部展开 客户端和中间层编程中的数据访问 连接字符串包含带有明文密码的凭据并且未使用集成安全性
代码里使用字符串操作来拼接sql语句的坏处
热门推荐
jihuanliang的专栏
01-16 1万+
1. 字符串操作更容易出错。 2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句
连接消息服务器的url连接字符串,url服务器地址字符串大小写敏感
weixin_34184847的博客
08-13 326
url服务器地址字符串大小写敏感 内容精选换一换华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。建议您的密码由数字、大小写字母、特殊符号组成,长度在8至26位。同时建议您从华为云的云市场中下载并安装虚拟化杀毒产品和主机安全加固产品,这样可以保证您的弹性云服务器受到更加全面的保护。如果弹性云服务器被入...
SQL语句规避拼接风险的转换方式
New4eva的博客
12-08 353
SQL语句规避拼接风险的转换方式 List<Example> ExampleList= null; try { String sql =" select * from demo where status!=-1"; if (StringUtils.isNotEmpty(example)) { sql+=" and example='"+example+"'"; } Exa
php连接字符串论文
最新发布
06-01
在 PHP 中,字符串连接是一个非常基础的操作,因为在 Web 开发中,我们经常需要将各种字符串进行拼接,以生成需要的 HTML、CSS、JavaScript 代码,或者拼接 SQL 语句等等。因此,对于 PHP 的开发者来说,熟练掌握字符串连接的方法是至关重要的。 PHP 提供了多种方法来连接字符串,其中最基础的方法就是使用句点(.)运算符。该运算符可以将两个字符串连接起来,并返回一个新的字符串。例如,以下代码将两个字符串连接起来: ``` $str1 = "Hello"; $str2 = "world"; $result = $str1 . " " . $str2; echo $result; // 输出:Hello world ``` 除了使用句点运算符之外,PHP 还提供了一种更高效的方法来连接字符串,即使用 .= 运算符。该运算符可以将右侧的字符串连接到左侧的字符串的末尾,并返回一个新的字符串。例如,以下代码将一个字符串连接到另一个字符串的末尾: ``` $str1 = "Hello"; $str2 = "world"; $str1 .= " " . $str2; echo $str1; // 输出:Hello world ``` 在实际开发中,为了提高代码的可读性和可维护性,我们通常会使用模板引擎、框架等工具来处理字符串连接。例如,使用 Laravel 框架的 Blade 模板引擎,我们可以使用如下代码来连接字符串: ``` {{ $str1 }} {{ $str2 }} ``` 这样会将两个字符串连接起来,并自动进行 HTML 转义,以避免 XSS 攻击等安全问题。 总之,字符串连接是 PHP 开发中非常基础和常用的操作,熟练掌握其使用方法可以提高开发效率和代码质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值