0
我正在尋找一種方法來提高一些較早的Web應用程序的安全性。目前他們的連接字符串以純文本保存在include.asp文件中。理想情況下,我正在考慮將這些文件移至web.config文件並使用aspnet_regiis.exe對其進行加密,但這對於經典ASP無效。加密經典ASP中的連接字符串
我已經瀏覽了一下互聯網,但找不到任何似乎適合這個的東西,有沒有人遇到過同樣的問題?
A
回答
0
保護您的include.asp的最佳方法是在網站上使用匿名身份驗證,並確保設置該文件的NTLM安全性,以便它只能由IIS使用的用戶讀取。
如果這是不可能的,你可以通過多種方式混淆字符串,但幾乎沒有一個將會非常安全,所以你可以避免這些字符串被隨便的八卦用戶看到,而不是黑客。
- 您可以使用自己的隱窩和解密功能,但他們會看到自己在.asp文件,例如參見
您可以使用運行外部隱窩和加密工具here和here從您的.asp像這樣(我用它來運行Ruby腳本,並獲得滿意的結果,替代由你執行的命令)
set objWShell = CreateObject("WScript.Shell") set objCmd = objWShell.Exec("cmd.exe /c c:\Ruby193\bin\ruby.exe d:\inetpub\site\appl\RMW\import\import.rb") result = objCmd.StdOut.Readall() errors = objCmd.STDERR.Readall() set objCmd = nothing set objWShell = nothing如果您的操作系統支持,您可以使用Windows Script Encoder,看到
[在經典asp中加密連接字符串]可能的副本(http://stackoverflow.com/questions/337663/encrypting-connection-string-in-classic-asp) – Lankymart
您可以將連接字符串存儲在「 global.asa「... http://stackoverflow.com/questions/30867462/classic-asp-global-asa-sql-server-2008-connection-string – Foxbox