使用 C# 防御 MDX 注入(inject)攻击的好方法是什么?我目前正在使用 ADOMDClient,我应该使用其他客户端吗?
最佳答案
我们可以创建参数化 MDX 查询,通过将用户指定的字符串传递到 MDX StrToSet、StrToTuple、StrToMember 和 StrToValue 函数来防止 MDX 注入(inject)攻击。
以下是来自 this MSDN page 的 MDX StrToSet 函数的几个示例.
The following example returns the set of members of the State-Province attribute hierarchy using the StrToSet function. The set specification provides a valid MDX set expression.
SELECT StrToSet ('[Geography].[State-Province].Members')
ON 0
FROM [Adventure Works]
The following example returns an error due to the CONSTRAINED flag. While the set specification provides a valid MDX set expression, the CONSTRAINED flag requires qualified or unqualified member names in the set specification.
SELECT StrToSet ('[Geography].[State-Province].Members', CONSTRAINED)
ON 0
FROM [Adventure Works]
以下代码示例演示了如何创建参数化查询,以及如何使用 AdomdConnection 对象执行它。
假设我们有以下通用 C# 方法执行参数化 MDX 查询并返回 CellSet。
public CellSet GetCellSet(string connectionString, string query, IDictionary<string, object> parms)
{
using (var conn = new AdomdConnection(connectionString))
{
// Open the connection.
conn.Open();
// Create the command.
using (var cmd = conn.CreateCommand())
{
// Set the command query.
cmd.CommandText = query;
// Add any query parameters.
if (parms != null)
{
foreach (var kv in parms)
{
var parameter = cmd.CreateParameter();
parameter.ParameterName = kv.Key;
parameter.Value = kv.Value;
cmd.Parameters.Add(parameter);
}
}
// Execute the query and return the CellSet.
return cmd.ExecuteCellSet();
}
}
}
假设我们有另一种方法允许客户端传入 MDX 集表达式的字符串表示形式。该方法将从立方体中选择集合并返回结果的 CellSet。
public CellSet GetMdxSetOnColumns(string setExpression)
{
var connectionString = "replace with your connection string";
// The query parameter @TheSet will be replaced with setExpression.
var query = "SELECT StrToSet(@TheSet) ON 0 FROM [Adventure Works]";
// Add the passed in string as a query parameter.
var parms = new Dictionary<string, object>();
// You can omit the "@" in front of the parameter name here.
parms.Add("TheSet", setExpression);
return GetCellSet(connectionString, query, parms);
}
客户端代码可以像这样调用这个方法。
var cellSet = GetMdxSetOnColumns("[Geography].[State-Province].Members");
关于c# - 防止 MDX 注入(inject)攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44500720/