为什么有些asp.net开发人员会加密连接字符串?
为什么有些asp.net开发人员会加密连接字符串?,asp.net,asp.net-mvc,configuration-files,Asp.net,Asp.net Mvc,Configuration Files,我看到一些asp.net开发人员对包含在单独配置文件中的连接字符串进行加密。他们为什么这样做?我知道配置文件无法从客户端/浏览器读取!有可能访问此类文件吗?您不能排除网络信箱受损的可能性。 另外,您不希望web管理员知道数据库的密码 您需要记住,浏览器无法获取配置文件,因为扩展名.config在IIS元数据的限制列表中。可能会以其他方式从服务器获取它们,或者某些配置错误问题可能会允许下载它们。如果上载web.config文件时自定义错误设置为“关闭”,则web应用程序产生的任何错误都将显示您的代
我看到一些asp.net开发人员对包含在单独配置文件中的连接字符串进行加密。
他们为什么这样做?我知道配置文件无法从客户端/浏览器读取!有可能访问此类文件吗?您不能排除网络信箱受损的可能性。 另外,您不希望web管理员知道数据库的密码
您需要记住,浏览器无法获取配置文件,因为扩展名
.config
在IIS元数据的限制列表中。可能会以其他方式从服务器获取它们,或者某些配置错误问题可能会允许下载它们。如果上载web.config文件时自定义错误设置为“关闭”,则web应用程序产生的任何错误都将显示您的代码。这甚至可能包括配置文件中的行,也可能包括使其对公众可见的“连接字符串”。维护人员、备份操作员或其他无需通过网站即可访问磁盘的人员可以访问这些行。这就是一个例子。对于每个组织来说,最重要的是他们的数据
您可以加密任何配置部分。它不一定要在一个单独的配置文件中。我知道,但我说得很清楚。我相信这是一个不同的问题。即使配置部分已加密,您的异常也将包含纯文本形式的完整连接字符串。