App_Data - 网络应用程序的数据目录。它有多安全？

这些文件受禁止文件处理程序的保护。只要一切正常运行就很安全。但是，ASP.NET处理程序有可能会崩溃，只留下IIS在运行。在这种情况下，您的web.config文件和aspx文件将被作为纯文本文件提供。

如果您的数据不是非常敏感，那么这是存储数据的好地方。如果您有高度敏感的数据，请将其存储在另一台计算机上。

编辑：更多信息 您可以在此处阅读有关禁止文件处理程序的更多信息 http://msdn.microsoft.com/en-us/library/bya7fh0a.aspx。向下滚动，您会注意到“根web.config”文件中有一个mdfs条目。您通常可以在C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG路径找到此文件。

我没有找到太多关于让asp.net崩溃但仍然保留iis运行的信息，但是如果您用“请求下载aspx”之类的术语进行谷歌搜索，您可以找到人们遇到问题的报告（通常是由于asp.net未配置正确），这可能导致利用漏洞发生。我很少见到它发生，但是这是有可能的。

就我个人而言，我想象它们受到与.config文件相同的保护。 这基本上意味着，这些项目的ASP.NET处理程序会返回一个“不提供此类型的页面”的消息。它可能会返回404错误。 最安全的方法是不要将您的数据库存储在那里。