web.config中的连接字符串安全

Question

我有一个网站由于在其自己的应用程序池下运行在IIS 7.5中而公开。在该网站的web.config中，存在一个到sql数据库的未加密连接字符串。

以自己的身份运行应用程序池是否更好&然后在web.config中使用sql身份验证连接到数据库，这意味着我将失去Kerbeos身份验证的好处。

或者我应该配置应用程序池以自己的身份运行&然后在连接字符串中使用集成安全性以获得Windows安全性的好处？

Answer 1

如果您有选项，您应该运行应用程序池并使用集成安全性。 ＃2如果您的网站遭到黑客攻击，这有利于不泄露您的密码。但是，这不会阻止任何SQL注入类型的攻击。

Answer 2

如果你对服务器有很大的控制权，那么就使用windows身份验证。虽然我不能说它是否“更好”，但我认为这会更容易管理。