gpt4 book ai didi

c# - MySQL SecureString作为连接字符串

转载 作者:行者123 更新时间:2023-11-29 03:04:32 25 4
gpt4 key购买 nike

我有一个关于aSecureString作为MySql Connector的连接字符串的一般性问题。如果我理解正确,SecureStrings是在我的程序中存储字符串的“安全”方法。现在我有两个问题:
我必须在安装时读入密码(TextBox,这是string,因此不安全)
我必须为MySQL连接器构建一个连接字符串,它是string(又是不安全的)
例子:

MySqlConnection con = new MySqlConnection();
MySqlConnectionStringBuilder builder = new MySqlConnectionStringBuilder();
builder.Add("SERVER", "loaclhost");
builder.Add("PORT", "3306");
builder.Add("DATABASE", "test_db");
builder.Add("UID", "root");
builder.Add("PASSWORD", "11235813"); //not the real password ;)
con.ConnectionString = builder.ConnectionString;
con.Open();

这就引出了我的下一个问题:MySQL连接器API是“不安全的”,因为所有值都以明文形式存储。
最后一个问题:是否有使用 string的感觉?
在我看来,我可以在程序中的任何地方使用 SecureString。如果涉及到MySQL,所有类型的加密(在我的程序中)都将是无用的。
我的观点对吗?还有别的办法吗?
致意
亚历克斯

最佳答案

还有其他的方法。这取决于在连接字符串之后您认为提交的是谁,以及他们将拥有什么类型的访问和技能级别。连接字符串在那里,在某个地方,不管你怎么隐藏它。
知道连接字符串可能被黑客攻击,我总是假设它会被黑客攻击,并在另一端采取预防措施。
我们在数据库服务器端做了一些事情,以确保即使连接字符串被压缩,数据仍然是安全的。
与连接字符串关联的用户在服务器上几乎没有权限。他们唯一拥有的权限是对包含存储过程的架构执行和控制。
前端只有通过存储过程才能访问。我们从不允许前端发送SQL字符串。
与可执行文件相比,数据保存在一个单独的模式中,在数据模式中,与连接字符串关联的用户没有权限,他们不能查看、嗅或触摸它。
存储过程将权限委托给没有足够权限执行过程的登录用户。(执行为“无登录用户”)
这是我们能做的一切。我们还没有找到防止连接字符串以某种方式暴露在某个地方的方法。
回答亚历克斯在下面提出的问题。(太长,无法评论)
注意。以下是MS SQL Server,它可能适用于其他DBMS系统,但我不能保证任何其他。
数据库包含架构,架构包含表、视图、存储过程等数据库对象。schmea允许您隔离数据库对象,例如,如果您有一组任何人都可以看到的表,那么它们可以进入一个公共模式,如果您有需要保护的工资单信息,那么您可以将其放入工资单模式。然后,可以根据架构中的对象类型对架构设置不同的安全措施。从图形上看,它们就像硬盘上的文件夹,在它们下面是它们包含的所有数据库对象。当您启动服务器时,有几个模式是自动创建的。你最熟悉的是DBO schmea。如果管理员已将其设置为默认架构,则您可能不会意识到这一点。
我们要做的是将所有数据放入一个数据schmea中,这意味着只允许使用表。因此,如果我们有一个payroll数据库,那么数据表将进入一个名为dataPayroll的模式。
存储过程是数据库服务器在调用时可以运行的一个或多个SQL代码块。它可以返回一个数据表或单个值。把它当作C#中的一种方法。
存储过程具有SQL代码中使用的输入和返回参数。参数化存储过程是抵御SQL注入攻击的强大防御手段。
我们的协议说,存储过程和视图都存储在一个模式中,该模式前面有“prog”。所以在payroll数据库中,所有不是数据的对象都在progparoll模式中。
然后,由连接字符串定义的用户仅对“prog”架构具有控制和执行权限。这允许它们调用存储过程。由连接字符串定义的用户被拒绝所有其他权限。此用户在其他任何地方的所有权限也被拒绝。在存储过程中,访问数据的权限被委托给具有使用EXECUTE AS命令从“data”架构检索数据的权限的非登录用户。
前端没有sql。前端程序员只知道存储过程的名称、参数、返回类型和值。
这样,即使攻击者设法从程序中提取出连接字符串,他们仍有大量工作要做,以便能够对数据库执行任何操作,因为他们拥有的用户只能执行存储过程。
如果你不知道这些东西是什么,那么你真的需要找一个数据库程序员来为你设置你的系统。

关于c# - MySQL SecureString作为连接字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17936392/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com