保护我的 LINQ to SQL 连接字符串

Question

我一直在阅读有关 Linq to SQL 安全性的内容，但不确定。

在 Visual Studio 中，当我从数据连接下的服务器资源管理器拖放表时，我收到以下消息：

“连接字符串包含带有明文密码的凭据，并且未使用集成安全性。是否要将连接字符串保存到当前 DBML 文件和包含此敏感信息的应用程序配置文件？单击“否”以保存连接字符串没有敏感信息。”

我收集到的是，如果单击“是”，密码将包含在保存到 DBML 文件和应用程序配置文件的连接字符串中。但我不确定的是，这个本地访问警告是说任何有权访问项目的人都可以在配置文件中看到密码，还是实际上意味着当你连接到数据库时，密码正在被发送以明文形式发送到数据库。

如果密码以明文形式发送到数据库，您如何保护您的 LINQ to SQL 连接？

谢谢，

尼尔

Answer 1

Visual Studio 会引发该警报，因为您将详细信息保存在纯文本配置中，而不是以明文形式将密码发送到数据库。

有多种方法可以使用受保护的配置来保护您的 webconfig 文件。

例如this SO question、MSDN article 或Scott Gu blog 都详细说明了这些方法。

我发现 aspnet_regiis 命令是保护我的 webconfig 文件中的连接字符串的最简单方法。