[C#]Connectionstring verbergen

Configfile encrypten of integrated security gebruiken.

Spreken we hier over een desktop applicatie of praten we over een web applicatie?

In het geval van een web applicatie kun je je wachtwoorden gewoon in de web.config zetten. Development en productie behoren gescheiden te zijn. Zodra de code naar productie gaat hoeft slechts een iemand in de web.config de development connectie strings te vervangen voor de productie connection strings.

Op development kun je daarnaast eventueel ook gebruiken maken van integrated authentication, waarbij het ingelogde windows account wordt gebruikt.

Echter dit staat allemaal in de MSDN en in elk .NET boek welke database toepassingen bespreekt. Waarom leest niemand nog de MSDN? Zoek anders in Google eens op 'C# secure connection strings' (quotes weglaten).

C# ?
MSSQL server?

Je zet de rechten op de SQL server goed, je kan die zelfs volledig integreren met de Domain Users.
Nooit geen wachtwoorden opslaan in de client applicatie, die kan je áltijd achterhalen.

Integrated security werkt natuurlijk alleen als webserver een DB-server in hetzelde domein zitten, als het uberhaupt een domein is waar ze in zitten. In een webhosting-situatie is dit bijna nooit het geval.

Wat ik altijd doe is sowieso de connectionstring encrypten, en de software de connectionstring laten decrypten. Echter zo staat de unencrypted connection toch weer ergens in het geheugen, iets dat hoe dan ook onvermijdelijk is, welke oplossing je ook kiest. Er is eigenlijk maar een manier om het dicht te timmeren, en dat is door een DAL in een black box te bouwen.

Maar misschien is een oplossing ergen tussen het minst en het meest ideale al goed genoeg voor jullie