古くから「Web三層構造」という考え方があって解説サイトも沢山あります。
自分でweb検索して勉強してください。

DBの接続情報をクライアントが知る必要はありません。
クライアントはID,PASSを「ログイン判定」関数に渡すだけで、
サーバサイドがDBの接続情報を持っており、処理結果のtrue,falseを
クライアントへ返すだけです。
DBの処理はサーバサイドで隠蔽されており、クライアントの処理を解析しても
何も処理していない形になります。iniファイルも暗号化も必要ありません。

ログインパスワードの暗号化は、DBに保存するときに不可逆変換するのが今の主流ですかね。
「.net パスワード ハッシュ化」あたりでweb検索すればサンプルコードが転がっています。
これも暗号化処理はサーバサイドに隠蔽し、クライアントからは平文のID,PASSを渡すだけ。
DBに登録するのは暗号化したデータのみで、同じ暗号化処理をすれば一致するという判定にします。
不可逆変換なのでシステム管理者も元のパスワードを知らないとログインできない仕様となります。
※この為、パスワードリセット機能の実装が必須事項となります。

平文を通信するのが怖い場合は、クライアントから1度目の暗号化したID,PASSを通信し、
サーバサイドでも、もう一度、別の暗号化キーで暗号化してDBに保存しても良いでしょう。