|
关于connection string应该存放在哪里有许多不同的方法每个都有自己的使用场合根据MSDN和我以前编程的经验总结/摘录了一篇文章希望对大家有所帮助 在程序中要存储connection strings我们有不少的选择的每一种方法都有自己的优缺点特别是在灵活性和安全性上当然很多人就直接把connection strings写在了程序里这样虽然效率提高了一些可是实在是非常不方便将来的修改和配置所以并不是一种推荐的行为 在选择connection strings存储方式时感觉最重要的是安全性和易配置性其次就是性能在各类资料中我们可以看到存储的方式主要有 )程序配置文件例如aspnet中的webconfig文件 )windows注册表中 )UDL文件 )在COM+的catalog中(只用于serviced component) 下面我们逐个来讨论一下这几种方法的优缺点 )使用XML程序配置文件 我们可以使用<appSettings>来把 connection string存储在程序配置文件的custom settings部分 <configuration> <appSettings> <add key=DBConnStrvalue=server=(local);Integrated Security=SSPI;database=northwind;username=;password=/> </appSettings> </configuration> 优点 a)很明显容易分发connection string可以跟随NET的xcopy机制极其简单的deploy b)易编程性我们可以使用 ConfigurationSettings 中的AppSetting来读取connection string using SystemConfiguration; private string GetDBaseConnectionString() { return ConfigurationSettingsAppSettings[DBConnStr]; } c)在ASPNET中使用的话可以自动更新也就是说如果一个管理员修改了webconfig中的connection string下一次这个string被访问是修改后的内容会被使用这点在web编程中非常实用 缺点 安全性虽然ASPNET中已经明确写了带config后缀的文件是不能被客户访问的并且NTFS文件系统可以用来进一步加强安全性在web server中用明文来存储connection string还是让人觉得不爽啊幸运的是MS还提供了在配置文件中用encrypted方式存储的办法这下基本上就OK乐 )使用UDL文件 OLE DB NET Data Provider支持在connection string中使用UDL文件具体方法可以参考KB Q HOW TO: Use Data Link Files with the OleDbConnection Object in Visual C NET不过要注意的是这种方法SQL Server NET Data Provider不支持 优点 这也是一种比较标准的方法特别是你以前就一直用UDL 缺点 a) 性能 每次connection打开时都需要去读取和分析UDL文件 b) 安全性UDL文件是以明文的方式存放的我们只能通过NT的文件系统设置它的访问权限 要注意在ASPNET中要保证ASPNET跑的账号有读的权限并且注意不要把UDL文件放在虚拟目录中不然它有可能会被客户下载 )使用注册表 当然我们也可以在注册表中增加一个键来存储connection但是这样比较难以分发 优点 a) 安全性 我们可以对注册表的键使用ACL来控制读写权限也可以考虑加密信息 b) 易编程性NET也提供了很多类使我们可以容易的操作注册表 缺点 分发 这种方式必须要把相应注册表的修改也放入程序的分发过程中一定程度上就与NET的xcopy不相符合了 )使用自定义文件 我们当然也可以自定义一种文件格式来储存connection string但是这样的话就没有太多优点了而且需要额外的编程并且不容易分发所以在很多场合下不太适用 )使用COM+的catalog和construction arguments 在使用到COM+的时候我们也会把connection string存到COM+的catalog中然后通过object construction string来传递给objectCOM+会在初始化对象时调用对象的construct函数这种方法只适用于service components当我们用到分布式transaction或object pooling时我们就可以考虑这种方法 优点 管理Admin可以非常容易的使用MMC配置connection string 缺点 安全性虽然我们可以通过COM+中的role来进行一定的控制 COM+ catalog 不是一个非常安全的存储地区所以不要以明文的形式在其中存储connection string 分发性COM+ catalog中的内容也必须和我们的程序一起分发这部分的内容比较多这里我就不一一详述了 通过上面的分析我的结论是在ASPNET中还是存放在webconfig中最好而且加上encryped应该是很安全的了 |
