编写安全 ADO.NET 应用程序不仅仅是避免常见的编码缺陷,例如不验证用户输入。 访问数据的应用程序有许多潜在的故障点,攻击者可以利用这些故障点来检索、作或销毁敏感数据。 因此,必须了解安全性的各个方面,从应用程序设计阶段的威胁建模过程到最终部署和持续维护。
.NET Framework 提供了许多有用的类、服务和工具来保护和管理数据库应用程序。 公共语言运行时(CLR)为要在其中运行的代码提供类型安全的环境,代码访问安全性(CAS)可以进一步限制托管代码的权限。 遵循安全的数据访问编码做法会限制潜在攻击者可能造成的损害。
使用非托管资源(如数据库)时,编写安全代码不会防范自我造成的安全漏洞。 大多数服务器数据库(如 SQL Server)都有自己的安全系统,这些系统在正确实施时增强了安全性。 但是,如果数据源未正确配置,即使是具有可靠安全系统的数据源也会在攻击中成为受害者。
本部分内容
安全性概述
提供有关设计安全 ADO.NET 应用程序的建议。
保护数据访问
介绍如何使用受保护数据源中的数据。
保护客户端应用程序
介绍客户端应用程序的安全注意事项。
代码访问安全和 ADO.NET
描述 CAS 如何帮助保护 ADO.NET 代码。 还讨论如何使用部分信任。
隐私和数据安全性
介绍 ADO.NET 应用程序的加密选项。
相关章节
DataSet 和 DataTable 安全指南
提供关于DataSet和DataTable的安全指南。
SQL Server 安全性
从开发人员的角度来看,介绍 SQL Server 安全功能。
安全注意事项
介绍 Entity Framework 应用程序的安全性。
安全性
包含介绍 .NET 中安全的各个方面的文章的链接。
安全工具
用于保护和管理安全策略的 .NET Framework 工具。
用于创建安全应用程序的资源
提供用于创建安全应用程序的文章的链接。
安全书目
提供在线或印刷版外部资源的链接。