Først og fremmest skal du være opmærksom på, at uanset hvad du gør, hvis en angriber får adgang til dine serverfiler, vil han være i stand til at stjæle adgangskoden.
Hvis du bruger en app-servers datakilde, flytter du bare placeringen af klartekstadgangskoden til en anden fil.
Hvis du bruger en form for kryptering for at undgå at gemme en klartekstadgangskode, skal din app stadig dekryptere den med en anden adgangskode, som den allerede har. Hvis en angriber gør meget for at få adgang til dit system, kan du være ret sikker på, at han også ved det. Det, du gør, er at sløre (og opnå en falsk følelse af sikkerhed) snarere end faktisk at sikre den.
En mere sikker løsning er, at en bruger angiver adgangskoden (eller en adgangskode til at dekryptere DB-adgangskoden) under opstart af din app, men det vil gøre administrationen virkelig vanskelig. Og hvis du allerede er paranoid (den gode sikkerhedstype, ikke den skøre slags), at nogen har adgang til din server, bør du overveje, at DB-adgangskoden vil ligge i systemhukommelsen.
Bortset fra det, behold din adgangskode i din konfigurationsfil (som du kan være ret sikker på, at serveren ikke vil vise til omverdenen), lås dit system ned og giv kun databasebrugeren de nødvendige minimumstilladelser.