我有一个网站,因为它在自己的应用程序池下运行在IIS 7.5中。在站点的web.config中,有一个未加密的连接字符串到sql数据库。
以自己的身份运行应用程序池是否更好?然后在web.config中使用sql身份验证连接到数据库,这意味着我将失去对db进行Kerbeos身份验证的好处。
或者我应该将应用程序池配置为以其自己的身份运行?然后在连接字符串中使用集成安全性来获得Windows安全性的好处?
答案 0 :(得分:0)
如果您有选项,则应运行应用程序池并使用集成安全性。 #2如果您的网站遭到入侵,这样做的好处是不会泄露您的密码。但是,这不会阻止任何SQL注入类型的攻击。</ p>
答案 1 :(得分:0)
如果您对服务器有如此多的控制权,那么请使用Windows身份验证。虽然我不能说它是否“更好”,但我认为它会更容易管理。