Condividi tramite


Procedura: accedere a SQL Server tramite credenziali predeterminate

Aggiornamento: novembre 2007

Un modo sicuro per effettuare la connessione a SQL Server consiste nello specificare un nome utente e una password nella stringa di connessione. È possibile utilizzare un nome utente e una password predeterminati. Si consiglia di memorizzare il nome utente e la password predeterminati sul server come parte della sezione di configurazione connectionStrings e utilizzare la configurazione protetta per crittografare il contenuto delle stringhe di connessione. Per informazioni dettagliate, vedere Cenni preliminari sulla configurazione protetta. Si consiglia inoltre di limitare l'accesso al file Web.config con le autorizzazioni del file system NTFS.

Nota sulla sicurezza:

Non inserire mai le credenziali come stringhe direttamente nel codice dell'applicazione. Chiunque acceda ai file di codice, anche se compilati, potrebbe ricavarne le credenziali.

Nota sulla sicurezza:

Assegnare sempre al nome utente predeterminato i minimi privilegi di accesso alle risorse possibili. Non utilizzare "sa" o altri nomi utente di livello amministrativo. Utilizzare sempre password complesse.

Per memorizzare le credenziali nel file Web.config

  1. Creare una nuova chiave add nell'elemento connectionStrings del file Web.config. L'elemento connectionStrings dovrà essere figlio dell'elemento configuration. Per informazioni dettagliate, vedere Schema delle sezioni di configurazione.

    Nell'esempio seguente viene illustrata una chiave add contenente un nome utente e una password:

    <configuration>
      <connectionStrings>
        <add name="NorthwindConnection" 
          connectionString="Data Source=localhost; 
            Initial Catalog=Northwind;
            User Id=ApplicationUserID;
            Password=#P%19!ef2" />
      </connectionStrings>
    </configuration>
    
  2. Crittografare il valore della stringa di connessione utilizzando la configurazione protetta come illustrato in Procedura dettagliata: crittografia delle informazioni di configurazione utilizzando la configurazione protetta.

  3. Nell'applicazione leggere le credenziali della proprietà ConnectionStrings della classe ConfigurationManager.

    Nell'esempio che segue viene mostrato come leggere le credenziali in fase di esecuzione e concatenarle in una stringa di connessione:

    Dim settings As ConnectionStringSettings
    settings = System.Configuration.ConfigurationManager.ConnectionStrings("NorthwindConnection")
    Dim connectionString As String = settings.ConnectionString
    
    ConnectionStringSettings settings;
    settings = System.Configuration.ConfigurationManager.ConnectionStrings["NorthwindConnection"];
    string connectionString = settings.ConnectionString;
    

Vedere anche

Concetti

Accesso a SQL Server da un'applicazione Web

Accesso protetto ai dati (ADO.NET)

Altre risorse

Impostazioni di configurazione di ASP.NET

Autenticazione ASP.NET