在连接字符串中排除敏感数据的优缺点？

Posted 2023-02-26

【中文标题】在连接字符串中排除敏感数据的优缺点？

【英文标题】：Advantage and disadvantages of excluding sensitive data in the connection string?

【发布时间】：2016-01-11 22:53:35

【问题描述】：

我总是在这里重新考虑。我更喜欢选择No，只是因为它说它是敏感数据，但我想知道选择它的具体优点和缺点是什么。

【参考方案1】：

在我看来，将敏感数据存储在连接字符串中的“优势”仅仅是您无需在代码中进行设置，因此更简单。这是否可以接受，这取决于您的应用程序的安全需求：如果有人获得您的数据库的密码，您有多在意？

根据Microsoft's documentation：

请注意，登录信息和密码可能在内存转储中可见。 当数据源登录和密码信息在 连接字符串，此信息保存在内存中，直到 垃圾收集回收资源。 这使得不可能 确定密码字符串何时不再在内存中。如果 应用程序崩溃，内存转储文件可能包含敏感的安全性 信息，以及运行应用程序的用户和任何具有 管理访问计算机可以查看内存转储文件。 使用 Windows 身份验证连接到 Microsoft SQL Server。