使用SecureString建立SQL连接

你说得完全正确，SecureString在需要将字符串传递给托管API（例如设置ConnectionString）时并没有任何好处。

它真正设计用于与安全的非托管API进行安全通信。

微软理论上可以考虑增强SqlConnection对象以支持安全的ConnectionString，但我认为他们不太可能这样做，因为：

• SecureString在客户端应用程序中才真正有用，例如从用户输入逐个字符构建密码而不会将整个密码存储在托管字符串中。

• 在这种环境下，更常见的是使用Windows身份验证连接到SQL Server。

• 在服务器上，保护SQL Server凭据的其他方法包括限制对服务器的访问权限仅授予授权管理员。

---

2012

微软加强了 SqlConection 对象的功能，通过将 SqlCredential 传递给新的 SqlConnection.Credential 属性来支持安全的 ConnectionString。

SecureString pwd = AzureVault.GetSecretStringSecure("ProcessPassword");
SqlCredential = new SqlCredential("Richard", pwd)
connection.Credential = cred;

很遗憾，没有其他DbConnection的后代支持它 (例如，OdbcConnection、OleDbConnection、OracleConnection、EntityConnection、DB2Connection)。

您可以并且应该使用SecureString来避免密码在内存中明文存在并暴露于攻击之下。而不是使用SQL连接字符串，您需要使用新的SqlCredential类，其中Password属性是SecureString。请参考以下文章以获取帮助。

https://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcredential.password(v=vs.110).aspx

http://www.codeproject.com/Tips/408901/Storing-your-connection-string-password-in-SecureS

将SecureString值分配给SQLConnection.ConnectionString将绕过安全性，使其无用。

SecureString旨在解决这些普通字符串问题，ref：

• 未固定，垃圾收集器可以将其移动，留下内存中的副本
• 未加密
• 如果您的进程被交换到磁盘上，字符串将停留在交换文件中
• 不可变，修改它将保留旧版本和新版本在内存中
• 使用完后没有清除方法

在我看来，SecureString类型是一个修补程序，用于修复不良的安全实现，目前SecureString尚未在整个框架中实现，因此无法充分利用其优势。

我有同样的问题，我选择RSA加密将敏感信息存储在内存中。

另一种解决方案是通过数据库服务器上的服务托管数据访问层，该服务在本地系统帐户下运行，连接到数据库并提供数据，而本地用户将无法访问服务配置。

为什么连接字符串是个问题？难道不应该保护密码（除非你将密码放在连接字符串中，但我见过的所有驱动程序都是可选的）。话虽如此，密码通常必须在某个时刻“明文”存储在内存中（除非驱动程序具有允许加密密码的api，但这可能并没有太大帮助）。
通常情况下，这不是问题，因为进程处于安全环境中，例如在Web服务器上或作为系统管理员类型的帐户运行（因此普通用户无法访问进程内存），或通常两者都有。如果这是在客户端机器上以用户身份运行，那么您必须假设进程已经被攻击了，这并没有帮助。一旦您保护了进程，就不必担心这样的事情了。

如果您非常关注安全问题，我建议您在SQL服务器中启用SSL，并使用SSL与其通信。