Строка подключения ядра .net в исходном коде

Question

Я работаю с примерами ядра .net для Entity Framework.

Примеры по умолчанию включают следующее внутри конструктора для контекста базы данных.

#warning To protect potentially sensitive information in your connection string, you should move it out of source code. 
See http://go.microsoft.com/fwlink/?LinkId=723263 for guidance on storing connection strings.
optionsBuilder.UseSqlServer("Server=servername");

Это не упоминалось в ссылке, как указано в предупреждении, я предоставил этот отзыв в Microsoft,https://github.com/aspnet/EntityFramework.Docs/issues/1269

Есть ли предпочтительный способ хранения строки подключения sql?Если строка подключения находится в appsettings.json, она все равно будет отслеживаться в управлении исходным кодом.Это лучшее решение для включения неотслеживаемого файла из appsettings.json?

Answer 1

Если у злоумышленника есть доступ к вашей информации исходного кода, которую вы взломали независимо от этого.

Скомпилированный код .NET можно декомпилировать, позволяя злоумышленнику раскрыть конфиденциальные данные, такие как пароль пользователя БД.

Файлы конфигурации могут быть зашифрованы перед выпуском, чтобы скрыть эти конфиденциальные данные.Смотри https://docs.microsoft.com/en-us/dotnet/framework/data/adonet/connection-strings-and-configuration-files#encrypting-configuration-file-sections-using-protected-configuration