如何隐藏 .NET 可执行文件中的详细信息？

Question

如果我在 .NET 中有一个简单的 CRUD 应用程序可执行文件，那么是什么阻止用户将其加载到 RedGate Reflector 并查看所有内容，包括数据库连接字符串、密码等？

我可以以任何方式防止这种情况发生吗？

Answer 1

不，您能做的最好的事情就是混淆程序集，使其更难以阅读和理解，但除此之外，无法阻止某人使用 Reflector 或 ILDASM 查看程序集中的 IL。

请记住，CLR 也需要能够读取该程序集，因此如果 CLR 可以读取该程序集，那么其他任何人都可以。

Answer 2

混淆永远不是正确的答案。也许你的处理方式是错误的。

我可以想到多种方法，使连接字符串要么不可用，要么不重要。

您可以将数据库放在 Web 服务后面，以便只有 Web 服务知道数据库的连接字符串。当然，您需要另一种方法来限制对 Web 服务的访问，例如使用登录凭据。

或者，您可以为每个用户提供自己的 SQL 登录名/密码。这样，他们就会知道自己的用户名/密码，但很容易从数据库中“关闭它”。这还使您可以更好地控制每个人对数据库本身的访问...例如他们可以访问哪些表/视图以及什么类型的访问。

Answer 3

您可以使其变得困难（混淆、字符串加密等），但只要用户有权访问可执行文件，逆向工程就永远不可能。

Answer 4

包括数据库连接字符串、密码

定义数据库引擎中的安全性：限制用户、限制用户可以连接的计算机、限制用户可以执行的操作和/或指定用户只能通过定义的“存储过程”与数据库交互。

Answer 5

这取决于你想保护什么。

如果它是带有密码的数据库连接字符串，则不要存储它们，示例：设置 IIS 应用程序池以运行有限服务帐户来连接到数据库和受信任的安全性。假设数据库安全性良好，服务器名称等知识是没有用的。

Answer 6

您可以将密码和连接字符串放入哈希表或 xml 中，然后加密您的数据，制作一个 zip 文件，其中密码隐藏在文本文件中，并通过速记隐藏在图像后面。所有的解压缩和读取都会在读取后在内存中进行释放、刷新内存、调用收集器、在使用连接字符串并填充清理变量后。仅将需要的数据保留在内存中，使用内存时要小心。

Answer 7

混淆将是一个选项。但我想你不能完全隐藏密码字符串。那样真的很不安全。