Anslutningssträngsbyggare
I tidiga versioner av ADO.NET uppstod inte kompileringstidskontroll av anslutningssträng med sammanfogade strängvärden, så att ett felaktigt nyckelord genererade ett ArgumentException. Var och en av .NET Framework-dataprovidrar stödde olika syntaxer för anslutningssträng nyckelord, vilket gjorde det svårt att konstruera giltiga anslutningssträng om det gjordes manuellt. För att lösa det här problemet introducerade ADO.NET 2.0 nya anslutningssträng-byggare för varje .NET Framework-dataprovider. Varje dataprovider innehåller en starkt skriven anslutningssträng builder-klass som ärver från DbConnectionStringBuilder. I följande tabell visas .NET Framework-dataprovidrar och deras associerade anslutningssträng builder-klasser.
Inmatningsattacker för anslutningssträngar
En anslutningssträng inmatningsattack kan inträffa när dynamisk strängsammanfogning används för att skapa anslutningssträng som baseras på användarindata. Om strängen inte är validerad och skadlig text eller tecken inte är undantagna kan en angripare komma åt känsliga data eller andra resurser på servern. En angripare kan till exempel montera en attack genom att ange ett semikolon och lägga till ytterligare ett värde. Anslutningssträng parsas med hjälp av algoritmen "senaste vinner" och de fientliga indata ersätts med ett legitimt värde.
Anslutningssträng builder-klasserna är utformade för att eliminera gissningar och skydda mot syntaxfel och säkerhetsrisker. De tillhandahåller metoder och egenskaper som motsvarar de kända nyckel/värde-par som tillåts av varje dataprovider. Varje klass har en fast samling synonymer och kan översättas från en synonym till motsvarande välkända nyckelnamn. Kontroller utförs för giltiga nyckel/värde-par och ett ogiltigt par genererar ett undantag. Dessutom hanteras inmatade värden på ett säkert sätt.
I följande exempel visas hur SqlConnectionStringBuilder du hanterar ett infogat extra värde för inställningen Initial Catalog
.
Dim builder As New System.Data.SqlClient.SqlConnectionStringBuilder
builder("Data Source") = "(local)"
builder("Integrated Security") = True
builder("Initial Catalog") = "AdventureWorks;NewValue=Bad"
Console.WriteLine(builder.ConnectionString)
System.Data.SqlClient.SqlConnectionStringBuilder builder =
new System.Data.SqlClient.SqlConnectionStringBuilder();
builder["Data Source"] = "(local)";
builder["integrated Security"] = true;
builder["Initial Catalog"] = "AdventureWorks;NewValue=Bad";
Console.WriteLine(builder.ConnectionString);
Viktigt!
Microsoft rekommenderar att du använder det säkraste tillgängliga autentiseringsflödet. Om du ansluter till Azure SQL är hanterade identiteter för Azure-resurser den rekommenderade autentiseringsmetoden.
Utdata visar att det SqlConnectionStringBuilder hanterade detta korrekt genom att undvika det extra värdet inom dubbla citattecken i stället för att lägga till det i anslutningssträng som ett nytt nyckel/värde-par.
data source=(local);Integrated Security=True;
initial catalog="AdventureWorks;NewValue=Bad"
Skapa anslutningssträng från konfigurationsfiler
Om vissa element i en anslutningssträng är kända i förväg kan de lagras i en konfigurationsfil och hämtas vid körning för att skapa en fullständig anslutningssträng. Namnet på databasen kan till exempel vara känt i förväg, men inte namnet på servern.
En av de överbelastade konstruktorerna för en anslutningssträng builder tar ett String som argument, vilket gör att du kan ange en partiell anslutningssträng som sedan kan slutföras från användarindata. Den partiella anslutningssträng kan lagras i en konfigurationsfil och hämtas vid körning.
Kommentar
Namnområdet System.Configuration ger programmatisk åtkomst till konfigurationsfiler som använder WebConfigurationManager för webbappar och ConfigurationManager för Windows-program. Mer information om hur du arbetar med anslutningssträng och konfigurationsfiler finns i Anslutningssträngar och Konfigurationsfiler.