Строки подключения для настольного приложения

Question

я создал настольное приложение в C#/WPF, который подключается к экземпляру SQL Server 2008 с помощью постоянной строки соединения, указанной в коде следующим образом (для целей тестирования):

private string GetConnectionString() 
{ 
    //test 
    return "Data Source=[server IP]; Initial Catalog=[database name]; User ID=[user ID]; Password=[smart password];"; 
} 

Приложение будет использоваться различными пользователями и будет развернуто через ClickOnce, ZIP-архив или пользовательский установщик. Он также имеет разделенные пользовательские функции входа в систему, запрашивая имя пользователя и пароль для доступа к приложениям.

Какова наилучшая практика для хранения сведений о строках подключения для моего настольного приложения (IP, база данных, пользователь SQL Server, пароль)? Если строка соединения изменяется ночью, что является лучшим способом ее обновления, не заставляя пользователей обновляться до последней версии моего приложения? Пользователи не должны видеть/перехватывать/декомпилировать строку подключения, поэтому я предполагаю, что я должен использовать какое-то шифрование. У вас есть какие-либо предложения для моего запроса?

Answer 1

Даже если вы скомпилируете свои строки подключения в приложение, их по-прежнему можно просмотреть с помощью инструмента Ildasm.exe (MSIL Disassembler), потому что строки являются частью метаданных сборки.

Возможно, this question может вам помочь.

Answer 2

В настольном приложении вы не можете запретить определенному пользователю видеть строку подключения. Даже если вы используете шифрование, определенный пользователь сможет найти и использовать ключ шифрования.

Answer 3

Вам необходимо добавить в приложение файл «Настройки приложения». Просто щелкните правой кнопкой мыши по вашему решению -> add -> найдите что-то похожее на «конфигурацию приложения». Для этого вам понадобится внешний файл конфигурации для хранения строки подключения. Вы даже можете использовать простой файл. Если вы беспокоитесь о поиске файла, вы всегда можете зашифровать строку и расшифровать ее в своем приложении.

Answer 4

Если клиент подключается к базе данных, соединение может быть взломан.

Это выборка данных соединений в App.Config

<appSettings> 
     <add key="dbServer" value="svr"/> 
     <add key="dbDataBase" value="db1"/> 
     <add key="dbUser" value="sharedUser"/> 
     <add key="dbPassword" value="easyPassword"/> 
    </appSettings> 

Нужна ссылка на System.Configuration

 string SvrName = ConfigurationManager.AppSettings["dbServer"]; 
     string DBName = ConfigurationManager.AppSettings["dbDataBase"]; 
     string DBUser = ConfigurationManager.AppSettings["dbUser"]; 
     string DBPassword = ConfigurationManager.AppSettings["dbPassword"]; 

Что касается безопасности ответа приложения 2 уровня, где только безопасным серверный код подключается к базе данных. Этот пример кода из кода на стороне сервера.

Другие преимущества серверной стороны - это повторяющиеся запросы из одного и того же соединения, которые можно получить из индексов в памяти из предыдущего запроса.

Вы можете солить и хэш-пароль, прочитанный из AppSettings и обсмехать приложение, но вам придется использовать статическую соль, чтобы ее можно было взломать. Это просто замедлит хакера.

Answer 5

Мое мнение, что самым безопасным решением является локальная точка входа в DNS для текущей машины SQL, а аутентификация - Проверка подлинности Windows.

Например: имя узла SQLMACHINE, указанное на сервере 192.168.1.3, на DNS-сервере.

Таким образом, если имя/IP машины SQL изменяется, необходимо обновить только DNS-сервер (и, возможно, локальные DNS-кэши будут недействительными).

Проверка подлинности Windows означает, что на локальном компьютере не будет сохранен пароль, чтобы вы могли безопасно хранить строку подключения в файле .config без каких-либо проблем.

Мои 2 (евро) цента.