View Full Version : امنیت Connection string
reza ghorbani
پنج شنبه 25 فروردین 1390, 13:05 عصر
با سلام خدمت دوستان و اساتید
برای وصل شدن به دیتا بیس از Connection string استفاده کردم. و همونطور که می دونید تو Connection string باید Username , pasword دیتا بیس رو نوشت. خب حالا هرکسی که بخواد کد منو resource کنه می تونه Username,password دیتابیس رو به دست بیاره.
حالا من چه جوری می تونم از Connection string محافظت کنم؟؟؟؟:متفکر::متفکر:
m.soleimani
پنج شنبه 25 فروردین 1390, 13:32 عصر
با سلام خدمت دوستان و اساتید
برای وصل شدن به دیتا بیس از Connection string استفاده کردم. و همونطور که می دونید تو Connection string باید Username , pasword دیتا بیس رو نوشت. خب حالا هرکسی که بخواد کد منو resource کنه می تونه Username,password دیتابیس رو به دست بیاره.
حالا من چه جوری می تونم از Connection string محافظت کنم؟؟؟؟:متفکر::متفکر:
بهترین راه استفاده از هش کد هست پسورد مورد نظرت رو به هش کد تبدیل کن./
shadi khanum
پنج شنبه 25 فروردین 1390, 13:35 عصر
connectionString رو encrypt کن.
reza ghorbani
پنج شنبه 25 فروردین 1390, 14:26 عصر
connectionString رو encrypt کن.
خیلی ممنون از راهتماییت.
حالا اگه یه لطفی کنی در مورو encryption بیشتر توضیح بدی ممنون می شم.:لبخندساده:
shadi khanum
پنج شنبه 25 فروردین 1390, 15:03 عصر
ببین تو خود .Net الگوریتم و کلاس اماده واسه Encrption هست که کار کردن باشون هم سخت نیست. میتونی از اونا استفاده کنی . اگه دوست داری هم میتونی خودت یه الگوریتمی طراحی کنی و با اون کار کنی، مثلا یه کلاسی بنویسی که یه متن رو بگیره و با توجه به کدت یه جوری اونو کد کنه و یا دیکد . ولی از کلاسهی خود .Net استفاده کنی راحت تری . از کلاس های این NameSpace: System.Security.Cryptography
m.soleimani
پنج شنبه 25 فروردین 1390, 16:39 عصر
یه سر به اینجا بزن کامل توضیح داده
http://msdn.microsoft.com/en-us/library/89211k9b(v=vs.80).aspx
به خاطر اسکریپتی که توی لینک هست ممکنه باز نشه برات این جمله رو توی سایت msdn جستجو کن
Securing Connection Strings
./
gerdioz
پنج شنبه 25 فروردین 1390, 21:35 عصر
دوست عزیز یوزر و پسورد رو از یک لیبل در برنامه لود کن
ztx4
پنج شنبه 25 فروردین 1390, 23:07 عصر
سلام
ببخشید من یه چیزو متوجه نمی شم.
شما فرمودید که Connection string رو هش کن.
خوب فرض کنید من این کارو کردم و نتیجه رو در یک فایل متنی در کنار برنامه ام ذحیره کردم.
برنامه ی من در حالت عادی اجرا می شه و اون مقدار هش شده رو برمی گردونه به حالت اولیه و ازش برای اتصال به بانک استفاده می کنه.
خوب سوالی که این وسط پیش میاد اینه که خود جناب هکر نمی تونه این کارو بکنه؟!!!
خوب بیایم فرض کنیم که برنامه از الگوریتیم های ترکیبی برای هش استفاده می کنه و مثلا Connection string رو با کلمه ی ALi ترکیب و هش می کنه.
خوب در این حالت هم با resourcel کردن کد مورد نظر کلمه ی Ali به دست میاد که!
این که نمی شه که!
لطفا توضیح بدید
ممنون
m.soleimani
جمعه 26 فروردین 1390, 00:27 صبح
دیگه طرف باید خیلی حوصله به خرج بده برای پیدا کردن الگوریتم شما؛ این بابا که نمیدونه علی جزوی از پسورد شما هست یا نه باید خیلی بگرده تا متوجه بشه البته اگر قصدت باشه سرکارش بزاری « یا به قولی توانایی این کار رو داشته باشی » مگه این که برنامه خیلی مهم باشه که برای یه همچین برنامههای هزارتا گیر امنیتی قرار میدن و به خوبی ازشون حفاظت میکنن. بیشترین سودی که شما از این کار خواهید برد این هست که عملن 99% از اونهایی که با استفاده از نرمافزار دیگران کد شما رو به دست میارن برای شرایط ناشناخته علم کافی ندارن و زود دلسرد میشن اگر هم طرف خیلی حرفهای باشه وقت برای برنامههای ساده نمیگذاره موفق باشید./
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.