如何保护 winform 的 SQL 2005 Express 数据库中的数据？

Question

我有使用 SQL 2005 Express 的 ac# winform 应用程序。该应用程序创建数学和阅读测验，并向学龄儿童的家长推销。家长从我的网站购买并下载包含测验的 SQL 文件，并将它们安装在应用程序中（安装在他们孩子的计算机上）。

我有两个 SQL 安全问题：

(1) 一些孩子可能不希望测验出现在他们的计算机上，因此他们可能会尝试 (a) 删除 SQL 数据库或 (b) 通过更改数据库中的值来禁用应用程序。

在我看来，任何使用 SQL Server Management Studio Express 的人都可以轻松更改数据库的内容。

因此，可以采取什么措施来防止这种情况发生（除了建议家长不要让孩子使用管理员帐户之外）？

(2) 我唯一的收入将是出售测验，因此我想保护这些数据不被复制和共享。考虑到 (a) 文件需要从我的服务器下载到孩子的计算机上然后安装，(b) 一旦安装，它们就驻留在孩子的计算机上，我该如何执行此操作。

在我看来，任何使用 SQL 数据库发布向导的人都可以轻松复制数据库的内容。

是否可以只允许我的应用程序访问 SQL 数据库？是否可以限制其他人访问它（甚至使用 Windows 管理员帐户的人）？

目前，我的应用程序的安装脚本仅为我的应用程序创建了一个新的 SQL 2005 Express 服务器实例，并且它使用 Windows 身份验证。

我已经在 Stackoverflow 和其他地方阅读了几篇 SQL 安全帖子，但我还无法弄清楚这一点。

Answer 1

从一个古怪的黑客的角度来看，父母完蛋了。这是因为他们的孩子可以实际接触计算机。从理论上讲，他们可以通过各种方式对其进行攻击。

现在，让我们看看更有可能发生的情况。

您发现不授予孩子管理员访问权限会产生很大的影响。但如果您说这对大多数家庭来说是遥不可及的，那么 SQL Management Studio 也是如此。你可以打赌孩子们不会去得到这个并安装它。

然而，最终，使用一些老式的混淆方法可能会更好。您可以创建自己的文件格式，并希望大多数孩子在看到二进制文件时会放弃，而不是使用 SQL Management Studio 之类的东西，那里有免费可用的工具来修改和防止这些测验出现或任何其他可用的攻击。官样文章。

如果他们打算放弃这一点，许多人可能会放弃 SQL Express。也就是说，孩子们非常足智多谋，有些人可能愿意按照他们在谷歌上搜索的逐步说明来击败你的软件。

听起来您正在将这些测验部署到不受您控制的计算机上的 SQL Express 实例上。 它们不再是你的机器了。

我不想说“你不能做你所要求的事情”，但你是在问如何防止某人使用管理员工具来破坏你的软件。我想我的答案是“你不能”。你必须重新审视你的设计，或者只是接受大多数孩子不会走那么远的想法。

Answer 2

您可以对测验数据进行加密。

加密和解密字符串

这里的缺陷是您的应用程序必须进行加密/解密密钥在其代码中，因此有人仍然可以通过重新编译工具或反射器之类的工具来访问它。

真正的答案是，保护您的应用程序的一切几乎是不可能的。想想那些大公司和他们的保护技术，微软、Adobe 等等……他们都有盗版问题。

此外，如果您的应用程序足够好，足以让很多人盗版，那么您很可能会获得大量的合法销售。

在那之前，我不会太担心，只需采取一些小的预防措施，不会过多干扰您的工作流程。