WinForm 应用程序中的安全连接字符串

Question

如何保护 WinForm 应用程序中的 ConnectionString？

Answer 1

你不能。尽管您可以加密 app.config 文件中的连接字符串，但应用程序需要能够对其进行解密，因此始终可以检索未加密的连接字符串，尤其是对于托管应用程序（可能不适合您的典型终端）用户，但任何熟练的开发人员或黑客都可以做到这一点，甚至最终用户也可以在稍微谷歌搜索后弄清楚这一点）。

解决这个问题的方法是不要依赖模糊性安全。使用 Windows 用户帐户连接到数据库时使用Windows 集成安全性，并为用户提供数据库中的最低权限。

但这通常还不够，因为当最终用户直接连接到数据库时，很难充分保护数据库（通常是因为您需要行级安全性）。为此，您需要拒绝对表和视图的访问，并完全退回到存储过程。

然而，更好的方法是阻止桌面应用程序直接与数据库通信。相反，使用 Web 服务作为中间层。在这种情况下，您可以完全控制安全性，并且可以将连接字符串安全地存储在（Web）服务器上。