来自http://tunps.com/sqlserver-pass-found
在某某软件发现sqlserver服务器帐号。你说丫的不注意安全,他还是知道把1433改为2433。
我还记得在读大学的时候,学校的机房有个虚拟磁盘软件,可以通过学号登录,每个学生有10MB的容量,用PB写的。同样用winhex、peid之类的软件哥获取了本校所有学生的帐号 xD。
某些人的做法是在client中or配置文件写加密密码,密码算法自己实现。但这个方法也不是绝对的安全。因为牛逼的hacker同样可以反编译出来。也不能用不可逆的算法(md5,sha1)。因为最后不管怎么玩,最后连接的配置信息还是明文的。
其实类似c/s的程序最好的解决方法三层结构。中间的逻辑层负责客户端的数据请求,而无需出示帐号。因为密码保存在中间件中。
