安全吗？在库中存储数据库访问方法

Question

首先，我有两个项目工作：ASP.NET和Silverlight 两者都使用一个类（QueryServiceClass在库类项目中）具有查询方法以使用ADO.NET访问数据库，操作数据库。 （打开连接到数据库，添加客户，编辑，更新等）

因此，我将它们存储到C＃类库中，并与ASP.Net和Silverlight共享。 ASP.NET项目和Silverlight的Web项目将具有对QueryServiceClass项目的引用。

但是，如果我发布ASP.NET/Silverlight项目，也应该发布QueryServiceClass项目的dll文件（这时dll应该在服务器端定位）。

因为QueryServiceClass的方法必须是公开的，所以ASP.NET/Silverlight项目可以使用它。 那么有人可能能够使用该DLL访问数据库？这会安全吗？

====== 编辑

在Silverlight的Web项目中，我使用WCF inhert的QueryServiceClass和接口来访问数据库，等等Silverlight客户端，它会通过WCF访问数据库。 我更关心的是有人可能会从服务器上获取dll文件并将其提供给某人。

在此先感谢。

王

Answer 1

你可以让你的会员的内部，而不是公众和修改的AssemblyInfo.cs类并使其内部可视具体asseblies。

[assembly: InternalsVisibleTo("OtherLib.Domain.Stuff")] 

这并不防止他人拆卸您的DLL来获取信息，但会阻止人们在他们的代码中使用您的DLL。

Answer 2

您可以通过将您的数据库登录凭据存储在配置文件中并对其进行加密来实现这一点。然后他们可以访问该DLL，但没有有效的凭据无法连接到数据库。

这里的an article描述了加密web.config文件中的值。

编辑：结合克里斯的建议，你有一个很好的，安全的解决方案。

Answer 3

即使您将这些方法设置为私有，他们也可以使用反射或反编译DLL来获取代码，然后访问数据库。

• 您可以有一个WCF服务，它执行所有数据库交互，并且客户端通过该服务进行连接。通过这种方式，无法建立直接连接，但如果最终用户可以确定WCF服务的位置和身份验证方案等，仍然可以调用方法。
• 您可以只存储和加密配置文件的连接信息。

Answer 4

公开与否，那将不安全。如果你的东西没有正确的访问限制访问数据库，那么你的数据库将会是一个不可信任的计算机，它将以全新的方式在的任何一个的方式中访问。

正确的方法是在您的Silverlight事物和数据库之间放置一个Web服务，并在服务中执行彻底的访问检查。

Answer 5

可能最安全的方法来防止任何问题是不允许从公共互联网远程访问您的数据库。这通常通过在Web服务器上运行服务（该服务可以是网站），然后使用该服务连接到数据库来处理。基本上，您应该确保没有任何连接可以通过网络外的机器直接连接到数据库服务器。