我正在编写一个Web应用程序,它将通过打开OLEDB连接来读取经过身份验证的用户提交的Excel文件中的数据。谁能告诉我以这种方式打开Excel文件的安全风险?我知道危险的宏可以嵌入到excel文件中,但使用OLEDB连接时仍然存在风险吗?
感谢。
答案 0 :(得分:3)
不,使用OLEDB从Excel工作簿中读取数据没有“Excel”安全风险。任何安全风险都将通过ADO(OLEDB)而不是 Microsoft Excel 应用程序。因此,宏不是一个问题,也不是细胞公式。
您可能希望搜索“ado oledb security excel”以满足您的好奇心,但我不相信您会发现任何需要担心的事情。
答案 1 :(得分:-1)
第一个问题是你需要确保在上传文件后公众无法访问它。确保文件存储在Web根目录之外。您还必须确保他们不上传包含.asp或.php扩展名的文件或包含../../../../../的文件名。 'content-type'是一个用户控制的变量,检查这个值是一个完整的浪费。
接下来,当你以这种方式打开excel文件时,它必须被解析。这会导致像this one这样的缓冲区溢出。
确保您的系统完全是最新的,但即便如此,微软也有可怕的安全跟踪记录,而且很可能您每年都会在很多天内受到攻击。