Comment : accéder à SQL Server à l'aide d'informations d'identification prédéterminées
Mise à jour : novembre 2007
Pour se connecter de façon fiable à SQL Server, vous pouvez passer un nom d'utilisateur et un mot de passe dans la chaîne de connexion. Vous pouvez utiliser un nom d'utilisateur et un mot de passe prédéfinis. La méthode recommandée consiste à stocker le nom d'utilisateur et le mot de passe prédéfinis sur le serveur dans le cadre de la section de configuration connectionStrings, puis à utiliser la configuration protégée pour chiffrer le contenu des chaînes de connexion. Pour plus d'informations, consultez Vue d'ensemble de la configuration protégée. Il est également recommandé de restreindre l'accès au fichier Web.config à l'aide d'autorisations du système de fichiers NTFS.
.gif "Note de sécurité") Note de sécurité : |
|---|
Ne codez jamais en dur les informations d'identification en tant que chaînes dans des programmes de votre application. Toute personne pouvant accéder au fichier de code, compilé ou non, sera en mesure d'obtenir ces informations d'identification. |
| Note de sécurité : |
|---|
Accordez toujours aux noms d'utilisateurs prédéfinis les privilèges d'accès à une ressource les plus faibles. N'utilisez jamais « sa » ni aucun autre nom d'utilisateur de niveau administratif. Utilisez toujours des mots de passe forts. |
Pour stocker des informations d'identification dans le fichier Web.config
Dans le fichier Web.config, créez une clé add dans l'élément connectionStrings. L'élément connectionStrings doit apparaître comme enfant de l'élément configuration. Pour plus d'informations, consultez Schéma des sections de configuration.
L'exemple suivant illustre une clé add qui contient un nom d'utilisateur et un mot de passe :
<configuration> <connectionStrings> <add name="NorthwindConnection" connectionString="Data Source=localhost; Initial Catalog=Northwind; User Id=ApplicationUserID; Password=#P%19!ef2" /> </connectionStrings> </configuration>Chiffrez la valeur de la chaîne de connexion à l'aide de la configuration protégée comme indiqué dans Procédure pas à pas : chiffrement des informations de configuration à l'aide de la configuration protégée.
Dans votre application, lisez les informations d'identification dans la propriété ConnectionStrings de la classe ConfigurationManager.
L'exemple suivant montre comment lire des informations d'identification au moment de l'exécution et les concaténer dans une chaîne de connexion :
Dim settings As ConnectionStringSettings settings = System.Configuration.ConfigurationManager.ConnectionStrings("NorthwindConnection") Dim connectionString As String = settings.ConnectionStringConnectionStringSettings settings; settings = System.Configuration.ConfigurationManager.ConnectionStrings["NorthwindConnection"]; string connectionString = settings.ConnectionString;
Voir aussi
Concepts
Accès à SQL Server à partir d'une application Web
Accès à des données sécurisées (ADO.NET)