也许我理解这一切都是错的,但据我所知,保护你的连接字符串的最好方法是加密它,现在我有了这些问题.
问题1:
将加密在共享托管环境中工作?
问题2:
如果我有FTP服务,任何用户都可以上传ASPX文件并通过配置管理器命名空间检索连接字符串吗?
问题1:
你在保护你的连接字符串是什么?
如果它是针对黑客的,如果web.config它们可用,那么你的系统已经受到了损害,你无能为力.
如果它是针对偶然的观察者(即编码员),即使像base64编码这样简单的东西也会有所帮助.
问题2:
您不应该允许您的用户将文件上载到可以执行aspx文件的目录 - 这样用户可以做任何他们想做的事情.
1:我不明白为什么不.
2:可能,虽然你应该采取措施来防止这种情况发生.我发现最好的方法是使用Windows身份验证并设置应用程序池的标识,以在IIS中使用专用的,锁定的Windows帐户.这样,您的连接字符串将永远不会包含密码.