避免以纯文本形式存储用户标识和密码
以纯文本形式存储用户标识和密码将造成严重的安全漏洞。如果用户标识和密码是源代码的一部分,那么一旦源代码的安全受到威胁,用户标识和密码比任何时候都容易遭受攻击。即使向外部源提供的是代码的编译版本,编译的代码也可能被反汇编,从而用户标识和密码也被公开。因此,关键信息如用户标识和密码决不能以纯文本形式存在于代码中。
要保持用户标识和密码信息的私有性,您可以选择使用密码系统(请参见加密服务),但是在存储关键信息,以及与应用程序分离、而通过 NTFS 权限得到了严密保护的秘密信息时,您仍然要小心。
连接到 Microsoft SQL Server 时,也可以选择使用“集成安全性”,它使用当前活动用户的标识,而不是传递用户标识和密码。. 强烈建议使用“集成安全性”。
注意 ASP.NET 开发人员在使用“集成安全性”时需要特别注意。有关在 ASP.NET 应用程序中控制当前活动用户标识的信息,请参见 ASP.NET 模拟。