c# - 防止 MDX 注入(inject)攻击

Question

使用 C# 防御 MDX 注入(inject)攻击的好方法是什么？我目前正在使用 ADOMDClient，我应该使用其他客户端吗？

Answer 1

我们可以创建参数化 MDX 查询，通过将用户指定的字符串传递到 MDX StrToSet、StrToTuple、StrToMember 和 StrToValue 函数来防止 MDX 注入(inject)攻击。

以下是来自 this MSDN page 的 MDX StrToSet 函数的几个示例.

The following example returns the set of members of the State-Province attribute hierarchy using the StrToSet function. The set specification provides a valid MDX set expression.

SELECT StrToSet ('[Geography].[State-Province].Members')  
ON 0  
FROM [Adventure Works]

The following example returns an error due to the CONSTRAINED flag. While the set specification provides a valid MDX set expression, the CONSTRAINED flag requires qualified or unqualified member names in the set specification.

SELECT StrToSet ('[Geography].[State-Province].Members', CONSTRAINED)  
ON 0  
FROM [Adventure Works]

以下代码示例演示了如何创建参数化查询，以及如何使用 AdomdConnection 对象执行它。

假设我们有以下通用 C# 方法执行参数化 MDX 查询并返回 CellSet。

public CellSet GetCellSet(string connectionString, string query, IDictionary<string, object> parms)
{
    using (var conn = new AdomdConnection(connectionString))
    {
        // Open the connection.
        conn.Open();

        // Create the command.
        using (var cmd = conn.CreateCommand())
        {
            // Set the command query.
            cmd.CommandText = query;

            // Add any query parameters.
            if (parms != null)
            {
                foreach (var kv in parms)
                {
                    var parameter = cmd.CreateParameter();
                    parameter.ParameterName = kv.Key;
                    parameter.Value = kv.Value;

                    cmd.Parameters.Add(parameter);
                }
            }

            // Execute the query and return the CellSet.
            return cmd.ExecuteCellSet();
        }
    }
}

假设我们有另一种方法允许客户端传入 MDX 集表达式的字符串表示形式。该方法将从立方体中选择集合并返回结果的 CellSet。

public CellSet GetMdxSetOnColumns(string setExpression)
{
    var connectionString = "replace with your connection string";

    // The query parameter @TheSet will be replaced with setExpression.
    var query = "SELECT StrToSet(@TheSet) ON 0 FROM [Adventure Works]";

    // Add the passed in string as a query parameter.
    var parms = new Dictionary<string, object>();

    // You can omit the "@" in front of the parameter name here.
    parms.Add("TheSet", setExpression);

    return GetCellSet(connectionString, query, parms);
}

客户端代码可以像这样调用这个方法。

var cellSet = GetMdxSetOnColumns("[Geography].[State-Province].Members");