Gewusst wie: Zugriff auf SQL Server mit vordefinierten Anmeldeinformationen

Aktualisiert: November 2007

Um eine sichere Verbindung zu SQL Server herzustellen, fügen Sie der Verbindungszeichenfolge einen Benutzernamen und ein Kennwort hinzu. Sie können einen vordefinierten Benutzernamen und ein vordefiniertes Kennwort verwenden. Es wird empfohlen, den vordefinierten Benutzernamen und das vordefinierte Kennwort als Teil des connectionStrings-Konfigurationsabschnitts auf dem Server zu speichern und anschließend den Inhalt der Verbindungszeichenfolgen mithilfe der geschützten Konfiguration zu verschlüsseln. Weitere Informationen finden Sie unter Übersicht über die geschützte Konfiguration. Es empfiehlt sich zudem, den Zugriff auf die Datei Web.config mit NTFS-Dateisystem-Berechtigungen einzuschränken.

Sicherheitshinweis:

Anmeldeinformationen dürfen nicht fest als Zeichenfolgen in einem Programm der Anwendung programmiert werden. Jeder Benutzer, der auf die Codedatei oder den kompilierten Code zugreifen kann, könnte andernfalls in den Besitz der Anmeldeinformationen gelangen.

Sicherheitshinweis:

Gewähren Sie vordefinierten Benutzernamen stets nur die Mindestberechtigungen für den Zugriff auf eine Ressource. "sa" oder andere Benutzernamen der Administratorebene dürfen nicht verwendet werden. Arbeiten Sie stets mit sicheren Kennwörtern.

So speichern Sie Anmeldeinformationen in der Datei Web.config

  1. Erstellen Sie einen neuen add-Schlüssel in der Datei Web.config im connectionStrings-Element. Das connectionStrings-Element muss als dem configuration-Element untergeordnet angezeigt werden. Weitere Informationen finden Sie unter Schema für Konfigurationsabschnitte.

    Im folgenden Beispiel wird ein add-Schlüssel veranschaulicht, der einen Benutzernamen und ein Kennwort enthält:

    <configuration>
      <connectionStrings>
        <add name="NorthwindConnection" 
          connectionString="Data Source=localhost; 
            Initial Catalog=Northwind;
            User Id=ApplicationUserID;
            Password=#P%19!ef2" />
      </connectionStrings>
    </configuration>
    
  2. Verschlüsseln Sie den Wert der Verbindungszeichenfolge mithilfe der geschützten Konfiguration, wie unter Exemplarische Vorgehensweise: Verschlüsseln von Konfigurationsinformationen mithilfe der geschützten Konfiguration gezeigt.

  3. Lesen Sie in der Anwendung die Anmeldeinformationen aus der ConnectionStrings-Eigenschaft der ConfigurationManager-Klasse.

    Das nachstehende Beispiel zeigt, wie Sie Anmeldeinformationen zur Laufzeit auslesen und innerhalb einer Verbindungszeichenfolge verketten können:

    Dim settings As ConnectionStringSettings
    settings = System.Configuration.ConfigurationManager.ConnectionStrings("NorthwindConnection")
    Dim connectionString As String = settings.ConnectionString
    
    ConnectionStringSettings settings;
    settings = System.Configuration.ConfigurationManager.ConnectionStrings["NorthwindConnection"];
    string connectionString = settings.ConnectionString;
    

Siehe auch

Konzepte

Zugreifen auf SQL Server von einer Webanwendung aus

Sicherer Datenzugriff (ADO.NET)

Weitere Ressourcen

ASP.NET-Konfigurationseinstellungen

Authentifizierung in ASP.NET