本文詳細(xì)介紹ASP.NET 和 XML Web Services 上的共同點(diǎn)與不同點(diǎn)，最重要的目標(biāo)之一是保護(hù)對(duì)數(shù)據(jù)源的訪問(wèn)。如果連接字符串未受保護(hù)，那么它就是一個(gè)潛在漏洞。如果以純文本形式存儲(chǔ)連接信息或者使連接信息持續(xù)位于內(nèi)存中，

則可能會(huì)損害整個(gè)系統(tǒng)?？梢允褂?MSIL 反匯編程序 (Ildasm.exe) 讀取嵌入在源代碼中的連接字符串，以查看已編譯的程序集中的 Microsoft 中間語(yǔ)言 (MSIL)。根據(jù)以下因素可能會(huì)出現(xiàn)與連接字符串有關(guān)的安全漏洞：所使用的身份驗(yàn)證類型，連接字符串持久地位于內(nèi)存和磁盤(pán)中的方式，以及在運(yùn)行時(shí)構(gòu)造連接字符串所采用的技術(shù)。#t#

為了幫助限制對(duì)數(shù)據(jù)源的訪問(wèn)，必須保護(hù)諸如用戶 ID、密碼和數(shù)據(jù)源名稱等連接信息的安全。為避免公開(kāi)用戶信息，建議盡可能使用 Windows 身份驗(yàn)證（有時(shí)也稱為“集成安全性”）。使用

Integrated Security 

或者

Trusted_Connection 

關(guān)鍵字在連接字符串中指定 Windows 身份驗(yàn)證后，不必再使用用戶 ID 和密碼。在使用 Windows 身份驗(yàn)證時(shí)，用戶由 Windows 進(jìn)行身份驗(yàn)證，通過(guò)對(duì) Windows 用戶和組授予權(quán)限來(lái)確定他們是否可訪問(wèn)服務(wù)器和數(shù)據(jù)庫(kù)資源。

在不能使用 Windows 身份驗(yàn)證的情況下必須格外小心，因?yàn)榇藭r(shí)用戶憑據(jù)在連接字符串中是公開(kāi)的。在 ASP.NET 應(yīng)用程序中，您可以將 Windows 帳戶配置為用于連接到數(shù)據(jù)庫(kù)和其他網(wǎng)絡(luò)資源的固定標(biāo)識(shí)。您可以在 web.config 文件中的標(biāo)識(shí)元素中啟用模擬，并指定用戶名和密碼。