我應該在生產環境中使用“Integrated Security=True”嗎？

Integrated Security=True在 ASP.NET 中的生產伺服器上使用是一種不好的做法嗎？

不——絕對安全*

您所做的只是說您將使用（通常）執行該程序的 Windows 使用者的憑據來通過 SQL Server 進行身份驗證（而不是提供使用者名和密碼）。

事實上，通常使用集成安全性被認為更安全。

(*) 當然，這始終取決於您的具體情況，但在一般情況下，是的，沒關係。

根據 IIS 用於執行 Web 應用程序的帳戶，這可能是好事也可能是壞事。

無論如何，SQL 使用者 ID 和密碼不會出現在連接字元串中是一個明顯的優勢；總是一件好事。

但是，您需要仔細設置您的生產環境。我建議您為 IIS 創建一個不同的使用者帳戶以用於執行 Web 應用程序。該使用者帳戶可以配置為只能訪問您的應用程序所需的 SQL 資源。如果您的 Web 應用程序的安全性受到威脅，這將保護您免受其他應用程序的輕易破壞。

我聽說程序員在做雜技，在執行時從加密資源載入帶有使用者 ID 和密碼的 SQL 連接字元串 :-)

引用自：https://stackoverflow.com/questions/3958555