Partager via


Chaînes de connexion et fichiers de configuration (ADO.NET)

L'incorporation de chaînes de connexion dans le code de votre application peut entraîner des vulnérabilités de sécurité et des problèmes de maintenance. Les chaînes de connexion non chiffrées compilées dans le code source d'une application peuvent être affichées à l'aide de l'outil Ildasm.exe (Désassembleur MSIL). En outre, si la chaîne de connexion change, votre application doit être recompilée. Pour ces raisons, nous vous recommandons de stocker les chaînes de connexion dans un fichier de configuration de l'application.

Utilisation de fichiers de configuration de l'application

Les fichiers de configuration de l'application contiennent des paramètres spécifiques à une application particulière. Par exemple, une application ASP.NET peut posséder un ou plusieurs fichiers web.config, alors qu'une application Windows peut posséder un fichier app.config facultatif. Les fichiers de configuration partagent des éléments communs, bien que le nom et l'emplacement d'un fichier de configuration varient selon l'hôte de l'application.

Section connectionStrings

Les chaînes de connexion peuvent être stockées comme des paires clé-valeur dans la section connectionStrings de l'élément configuration d'un fichier de configuration de l'application. Les éléments enfants incluent add, clear et remove.

Le fragment de fichier de configuration ci-dessous illustre le schéma et la syntaxe utilisés stocker une chaîne de connexion. L'attribut name est un nom que vous fournissez pour identifier de façon unique une chaîne de connexion afin qu'elle puisse être extraite au moment de l'exécution. providerName correspond au nom invariant du fournisseur de données .NET Framework qui figure dans le fichier machine.config.

<?xml version='1.0' encoding='utf-8'?>
  <configuration>
    <connectionStrings>
      <clear />
      <add name="Name" 
       providerName="System.Data.ProviderName" 
       connectionString="Valid Connection String;" />
    </connectionStrings>
  </configuration>
RemarqueRemarque

Vous pouvez enregistrer une partie d'une chaîne de connexion dans un fichier de configuration et utiliser la classe DbConnectionStringBuilder pour la compléter au moment de l'exécution.Cela est utile dans des scénarios où vous ne connaissez pas à l'avance les éléments de la chaîne de connexion ou lorsque vous ne voulez pas enregistrer des informations sensibles dans un fichier de configuration.Pour plus d'informations, voir Générateurs de chaînes de connexion (ADO.NET).

Utilisation de fichiers de configuration externes

Les fichiers de configuration externes sont des fichiers distincts qui contiennent un fragment d'un fichier de configuration composé d'une section unique. Le fichier de configuration externe est ensuite référencé par le fichier de configuration principal. Le stockage de la section connectionStrings dans un fichier séparé physiquement est utile dans des situations où les chaînes de connexion peuvent être modifiées après le déploiement de l'application. Par exemple, le comportement ASP.NET standard consiste à redémarrer un domaine d'application lorsque les fichiers de configuration sont modifiés, ce qui entraîne la perte des informations d'état. Toutefois, la modification d'un fichier de configuration externe n'entraîne pas le redémarrage d'une application. Les fichiers de configuration externes ne sont pas limités à ASP.NET ; ils peuvent également être utilisés par des applications Windows. En outre, la sécurité et les autorisations d'accès aux fichiers permettent de limiter l'accès aux fichiers de configuration externes. L'utilisation de fichiers de configuration externes au moment de l'exécution est transparente et ne requiert aucun codage spécial.

Pour stocker des chaînes de connexion dans un fichier de configuration externe, créez un fichier distinct contenant seulement la section connectionStrings. N'incluez aucun élément, section ou attribut supplémentaire. L'exemple ci-dessous illustre la syntaxe pour un fichier de configuration externe.

  <connectionStrings>
    <add name="Name" 
     providerName="System.Data.ProviderName" 
     connectionString="Valid Connection String;" />
  </connectionStrings>

Dans le fichier de configuration principal de l'application, vous utilisez l'attribut configSource pour spécifier le nom complet et l'emplacement du fichier externe. Cet exemple fait référence à un fichier de configuration externe nommé connections.config.

<?xml version='1.0' encoding='utf-8'?>
<configuration>
    <connectionStrings configSource="connections.config"/>
</configuration>

Extraction de chaînes de connexion au moment de l'exécution

Le .NET Framework 2.0 a introduit de nouvelles classes dans l'espace de noms System.Configuration afin de simplifier l'extraction des chaînes de connexion à partir des fichiers de configuration au moment de l'exécution. Vous pouvez extraire par programme une chaîne de connexion en utilisant son nom ou le nom du fournisseur.

RemarqueRemarque

Le fichier machine.config contient également une section connectionStrings, qui contient les chaînes de connexion utilisées par Visual Studio.Lors de l'extraction de chaînes de connexion à l'aide du nom du fournisseur à partir du fichier app.config dans une application Windows, les chaînes de connexion figurant dans machine.config sont chargées les premières, avant les entrées figurant dans app.config.L'ajout de clear immédiatement après l'élément connectionStrings supprime toutes les références héritées de la structure de données en mémoire, de sorte que seules les chaînes de connexion définies dans le fichier app.config local sont prises en compte.

Utilisation des classes de configuration

À partir du .NET Framework 2.0, ConfigurationManagerest utilisé lors de l'utilisation de fichiers de configuration sur l'ordinateur local, pour remplacer la ConfigurationSettings déconseillée. WebConfigurationManager permet d'utiliser des fichiers de configuration ASP.NET. Il est conçu pour utiliser les fichiers de configuration sur un serveur Web et il permet un accès par programme à des sections des fichiers de configuration telles que system.web.

RemarqueRemarque

L'accès aux fichiers de configuration au moment de l'exécution exige d'accorder des autorisations à l'appelant ; les autorisations requises dépendent du type d'application, du fichier de configuration et de l'emplacement.Pour plus d'informations, voir Utilisation des classes de configuration et WebConfigurationManager pour les applications ASP.NET et ConfigurationManager pour les applications Windows.

Vous pouvez utiliser ConnectionStringSettingsCollection pour extraire les chaînes de connexion à partir des fichiers de configuration de l'application. Il contient une collection d'objets ConnectionStringSettings, dont chaque objet représente une entrée unique dans la section connectionStrings. Ses propriétés correspondent aux attributs des chaînes de connexion, ce qui vous permet d'extraire une chaîne de connexion en spécifiant son nom ou le nom du fournisseur.

Propriété

Description

Name

Nom de la chaîne de connexion. Correspond à l'attribut name.

ProviderName

Nom complet du fournisseur. Correspond à l'attribut providerName.

ConnectionString

Chaîne de connexion Correspond à l'attribut connectionString.

Exemple : répertorier toutes les chaînes de connexion

Cet exemple itère au sein de la collection ConnectionStringSettings et affiche les propriétés Name, ProviderName et ConnectionString dans la fenêtre de console.

RemarqueRemarque

Le fichier System.Configuration.dll n'est pas inclus dans tous les types de projets et vous pouvez être amené à définir une référence à ce fichier afin d'utiliser les classes de configuration.Le nom et l'emplacement d'un fichier de configuration particulier de l'application varient selon le type d'application et le processus d'hébergement.

Imports System.Configuration

Class Program
    Shared Sub Main()
        GetConnectionStrings()
        Console.ReadLine()
    End Sub

    Private Shared Sub GetConnectionStrings()

        Dim settings As ConnectionStringSettingsCollection = _
            ConfigurationManager.ConnectionStrings

        If Not settings Is Nothing Then
            For Each cs As ConnectionStringSettings In settings
                Console.WriteLine(cs.Name)
                Console.WriteLine(cs.ProviderName)
                Console.WriteLine(cs.ConnectionString)
            Next
        End If
    End Sub
End Class
using System.Configuration;

class Program
{
    static void Main()
    {
        GetConnectionStrings();
        Console.ReadLine();
    }

    static void GetConnectionStrings()
    {
        ConnectionStringSettingsCollection settings =
            ConfigurationManager.ConnectionStrings;

        if (settings != null)
        {
            foreach(ConnectionStringSettings cs in settings)
            {
                Console.WriteLine(cs.Name);
                Console.WriteLine(cs.ProviderName);
                Console.WriteLine(cs.ConnectionString);
            }
        }
    }
}

Exemple : extraction d'une chaîne de connexion à l'aide de son nom

Cet exemple montre comment extraire une chaîne de connexion à partir d'un fichier de configuration en spécifiant son nom. Le code crée un objet ConnectionStringSettings, en faisant correspondre le paramètre d'entrée fourni au nom ConnectionStrings. Si aucun nom correspondant n'est trouvé, la fonction retourne null (Nothing en Visual Basic).

' Retrieves a connection string by name.
' Returns Nothing if the name is not found.
Private Shared Function GetConnectionStringByName( _
    ByVal name As String) As String

    ' Assume failure
    Dim returnValue As String = Nothing

    ' Look for the name in the connectionStrings section.
    Dim settings As ConnectionStringSettings = _
       ConfigurationManager.ConnectionStrings(name)

    ' If found, return the connection string.
    If Not settings Is Nothing Then
        returnValue = settings.ConnectionString
    End If

    Return returnValue
End Function
// Retrieves a connection string by name.
// Returns null if the name is not found.
static string GetConnectionStringByName(string name)
{
    // Assume failure.
    string returnValue = null;

    // Look for the name in the connectionStrings section.
    ConnectionStringSettings settings =
        ConfigurationManager.ConnectionStrings[name];

    // If found, return the connection string.
    if (settings != null)
        returnValue = settings.ConnectionString;

    return returnValue;
}

Exemple : extraction d'une chaîne de connexion à l'aide du nom du fournisseur

Cet exemple montre comment extraire une chaîne de connexion en spécifiant le nom invariant du fournisseur dans le format System.Data.ProviderName. Le code itère au sein de ConnectionStringSettingsCollection et retourne la chaîne de connexion du premier ProviderName trouvé. Si le nom du fournisseur est introuvable, la fonction retourne null (Nothing en Visual Basic).

' Retrieve a connection string by specifying the providerName.
' Assumes one connection string per provider in the config file.
Private Shared Function GetConnectionStringByProvider( _
    ByVal providerName As String) As String

    'Return Nothing on failure.
    Dim returnValue As String = Nothing

    ' Get the collection of connection strings.
    Dim settings As ConnectionStringSettingsCollection = _
        ConfigurationManager.ConnectionStrings

    ' Walk through the collection and return the first 
    ' connection string matching the providerName.
    If Not settings Is Nothing Then
        For Each cs As ConnectionStringSettings In settings
            If cs.ProviderName = providerName Then
                returnValue = cs.ConnectionString
                Exit For
            End If
        Next
    End If

    Return returnValue
End Function
// Retrieve a connection string by specifying the providerName.
// Assumes one connection string per provider in the config file.
static string GetConnectionStringByProvider(string providerName)
{
    // Return null on failure.
    string returnValue = null;

    // Get the collection of connection strings.
    ConnectionStringSettingsCollection settings =
        ConfigurationManager.ConnectionStrings;

    // Walk through the collection and return the first 
    // connection string matching the providerName.
    if (settings != null)
    {
        foreach (ConnectionStringSettings cs in settings)
        {
            if (cs.ProviderName == providerName)
                returnValue = cs.ConnectionString;
            break;
        }
    }
    return returnValue;
}

Chiffrement de sections de fichier de configuration à l'aide d'une configuration protégée

ASP.NET 2.0 a introduit une nouvelle fonctionnalité, appelée configuration protégée, qui vous permet de chiffrer les informations sensibles dans un fichier de configuration. Bien qu'elle ait été conçue à l'origine pour les applications ASP.NET, la configuration protégée permet également de chiffrer les sections des fichiers de configuration dans les applications Windows. Pour obtenir une description détaillée des fonctionnalités de configuration protégée, consultez Chiffrement des informations de configuration à l'aide de la configuration protégée.

Le fragment de fichier de configuration suivant illustre la section connectionStrings après le chiffrement. Le configProtectionProvider spécifie le fournisseur de configuration protégée pour chiffrer et déchiffrer les chaînes de connexion. La section EncryptedData contient le texte de chiffrement.

<connectionStrings configProtectionProvider="DataProtectionConfigurationProvider">
  <EncryptedData>
    <CipherData>
      <CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAH2... </CipherValue>
    </CipherData>
  </EncryptedData>
</connectionStrings>

Lorsque la chaîne de connexion chiffrée est extraite au moment de l'exécution, le .NET Framework utilise le fournisseur spécifié pour déchiffrer le CipherValue et le tenir à la disposition de votre application. Il est inutile d'écrire du code supplémentaire pour gérer le processus de déchiffrement.

Fournisseurs de configuration protégée

Les fournisseurs de configuration protégée sont enregistrés dans la section configProtectedData du fichier machine.config sur l'ordinateur local, comme indiqué dans le fragment suivant, qui représente les deux fournisseurs de configuration protégée inclus avec le .NET Framework. Les valeurs indiquées ici ont été tronquées pour améliorer la lisibilité.

<configProtectedData defaultProvider="RsaProtectedConfigurationProvider">
  <providers>
    <add name="RsaProtectedConfigurationProvider" 
      type="System.Configuration.RsaProtectedConfigurationProvider, ... />
    <add name="DataProtectionConfigurationProvider" 
      type="System.Configuration.DpapiProtectedConfigurationProvider, ... />
  </providers>
</configProtectedData>

Vous pouvez configurer des fournisseurs de configuration protégée supplémentaires en les ajoutant au fichier machine.config. Vous pouvez également créer votre propre fournisseur de configuration protégée en héritant de la classe de base abstraite ProtectedConfigurationProvider. Le tableau suivant décrit les deux fichiers de configuration inclus avec le .NET Framework.

Fournisseur

Description

RSAProtectedConfigurationProvider

Utilise l'algorithme de chiffrement RSA pour chiffrer et déchiffrer des données. L'algorithme RSA peut être utilisé pour le chiffrement de clé publique et les signatures numériques. Il est également appelé « clé publique » ou chiffrement asymétrique, car il utilise deux clés différentes. Vous pouvez utiliser l'ASP.NET IIS Registration, outil (Aspnet_regiis.exe) pour chiffrer des sections dans un fichier Web.config et gérer les clés de chiffrement. ASP.NET déchiffre le fichier de configuration lorsqu'il traite le fichier. L'identité de l'application ASP.NET doit disposer d'un accès à la clé de chiffrement utilisée pour chiffrer et déchiffrer les sections chiffrées.

DPAPIProtectedConfigurationProvider

Utilise l'API de protection de données (DPAPI) Windows pour chiffrer les sections de configuration. Il utilise les services de chiffrement intégrés de Windows et peut être configuré pour une protection spécifique à un ordinateur ou spécifique à un compte d'utilisateur. La protection spécifique à un ordinateur est utile pour plusieurs applications sur le même serveur qui doivent partager des informations. La protection spécifique à un compte d'utilisateur peut être utilisée avec des services qui s'exécutent avec une identité d'utilisateur spécifique, telle qu'un environnement d'hébergement partagé. Chaque application s'exécute sous une identité différente qui restreint l'accès aux ressources telles que les fichiers et les bases de données.

Les deux fournisseurs offrent un chiffrement renforcé des données. Cependant, si vous prévoyez d'utiliser le même fichier de configuration chiffré sur plusieurs serveurs, comme une batterie de serveurs Web, seul RsaProtectedConfigurationProvider vous permet d'exporter les clefs de chiffrement utilisées pour chiffrer les données et les importer sur un autre serveur. Pour plus d'informations, consultez Importation et exportation des conteneurs de clé RSA de la configuration protégée.

Utilisation des classes de configuration

L'espace de noms System.Configuration fournit des classes pour utiliser des paramètres de configuration par programme. La classe ConfigurationManager fournit un accès aux fichiers de configuration d'ordinateur, d'application et d'utilisateur. Si vous créez une application ASP.NET, vous pouvez utiliser la classe WebConfigurationManager, qui fournit la même fonctionnalité tout en vous permettant également d'accéder à des paramètres qui sont uniques aux applications ASP.NET, telles que celles qui se trouvent dans <system.web>.

RemarqueRemarque

L'espace de noms System.Security.Cryptography contient des classes qui fournissent des options supplémentaires pour le chiffrement et déchiffrement de données.Utilisez ces classes si vous avez besoin de services de chiffrement qui ne sont pas disponibles via la configuration protégée.Certaines de ces classes sont des wrappers pour l'interface Microsoft CryptoAPI non managée, tandis que d'autres ne sont purement que des implémentations managées.Pour plus d'informations, consultez Cryptographic Services.

Exemple App.config

Cet exemple montre comment basculer le chiffrement de la section connectionStrings dans un fichier app.config pour une application Windows. Dans cet exemple, la procédure prend le nom de l'application en tant qu'argument, par exemple, « MyApplication.exe ». Le fichier app.config est ensuite chiffré et copié dans le dossier qui contient le fichier exécutable sous le nom « MyApplication.exe.config ».

RemarqueRemarque

La chaîne de connexion peut uniquement être déchiffrée sur l'ordinateur sur lequel elle a été chiffrée.

Le code utilise la méthode OpenExeConfiguration pour ouvrir le fichier app.config pour la modification, puis la méthode GetSection retourne la section connectionStrings. Le code vérifie ensuite la propriété IsProtected, en appelant le ProtectSection pour chiffrer la section si elle n'est pas chiffrée. La méthode UnProtectSection() est appelée pour déchiffrer la section. La méthode Save termine l'opération et enregistre les modifications.

RemarqueRemarque

Vous devez définir une référence à System.Configuration.dll dans votre projet pour le code à exécuter.

Shared Sub ToggleConfigEncryption(ByVal exeConfigName As String)
    ' Takes the executable file name without the
    ' .config extension.
    Try
        ' Open the configuration file and retrieve 
        ' the connectionStrings section.
        Dim config As Configuration = ConfigurationManager. _
            OpenExeConfiguration(exeConfigName)

        Dim section As ConnectionStringsSection = DirectCast( _
            config.GetSection("connectionStrings"), _
            ConnectionStringsSection)

        If section.SectionInformation.IsProtected Then
            ' Remove encryption.
            section.SectionInformation.UnprotectSection()
        Else
            ' Encrypt the section.
            section.SectionInformation.ProtectSection( _
              "DataProtectionConfigurationProvider")
        End If

        ' Save the current configuration.
        config.Save()

        Console.WriteLine("Protected={0}", _
        section.SectionInformation.IsProtected)

    Catch ex As Exception
        Console.WriteLine(ex.Message)
    End Try
End Sub
static void ToggleConfigEncryption(string exeConfigName)
{
    // Takes the executable file name without the
    // .config extension.
    try
    {
        // Open the configuration file and retrieve 
        // the connectionStrings section.
        Configuration config = ConfigurationManager.
            OpenExeConfiguration(exeConfigName);

        ConnectionStringsSection section =
            config.GetSection("connectionStrings")
            as ConnectionStringsSection;

        if (section.SectionInformation.IsProtected)
        {
            // Remove encryption.
            section.SectionInformation.UnprotectSection();
        }
        else
        {
            // Encrypt the section.
            section.SectionInformation.ProtectSection(
                "DataProtectionConfigurationProvider");
        }
        // Save the current configuration.
        config.Save();

        Console.WriteLine("Protected={0}",
            section.SectionInformation.IsProtected);
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex.Message);
    }
}

Exemple Web.config

Cet exemple utilise la méthode OpenWebConfiguration de WebConfigurationManager. Notez que dans ce cas, vous pouvez fournir le chemin d'accès relatif au fichier Web.config à l'aide d'un tilde. Le code requiert une référence à la classe System.Web.Configuration.

Shared Sub ToggleWebEncrypt()
    ' Open the Web.config file.
    Dim config As Configuration = WebConfigurationManager. _
      OpenWebConfiguration("~")

    ' Get the connectionStrings section.
    Dim section As ConnectionStringsSection = DirectCast( _
        config.GetSection("connectionStrings"), _
        ConnectionStringsSection)

    ' Toggle encryption.
    If section.SectionInformation.IsProtected Then
        section.SectionInformation.UnprotectSection()
    Else
        section.SectionInformation.ProtectSection( _
          "DataProtectionConfigurationProvider")
    End If

    ' Save changes to the Web.config file.
    config.Save()
End Sub
static void ToggleWebEncrypt()
{
    // Open the Web.config file.
    Configuration config = WebConfigurationManager.
        OpenWebConfiguration("~");

    // Get the connectionStrings section.
    ConnectionStringsSection section =
        config.GetSection("connectionStrings")
        as ConnectionStringsSection;

    // Toggle encryption.
    if (section.SectionInformation.IsProtected)
    {
        section.SectionInformation.UnprotectSection();
    }
    else
    {
        section.SectionInformation.ProtectSection(
            "DataProtectionConfigurationProvider");
    }

    // Save changes to the Web.config file.
    config.Save();
}

Pour plus d'informations sur la sécurisation des applications ASP.NET, consultez Sécurité ASP.NET et ASP.NET 2.0 Security Practices at a Glance (en anglais) dans le Centre de développement ASP.NET.

Voir aussi

Concepts

Générateurs de chaînes de connexion (ADO.NET)

Protection des informations de connexion (ADO.NET)

Utilisation des classes de configuration

Autres ressources

Fichiers de configuration

Administration de site Web ASP.NET