我一直在研究为ASP.NET WebForms应用程序生成的安全报告。我们的代码中的某些区域已被注意到潜在的SQL注入漏洞。我一直在我们的代码库中查看这些区域,它们似乎都是我们导入excel工作簿的地方。当我们尝试根据工作簿中第一个工作表的名称创建OleDbCommand时,违规代码似乎就出现了。我们使用OleDbConnection对象建立与数据库(excel表)的连接,该对象读取数据库模式以查找第一个工作表的名称。然后,我们使用该名称动态构造SQL命令。示例代码可能如下所示:
String connectionString = String.Format(
"Provider=Microsoft.ACE.OLEDB.12.0;Data Source={0};" +
"Extended Properties=\"Excel 12.0;HDR=NO;IMEX=1\"", sFullPath);
OleDbConnection conn = new OleDbConnection(connectionString);
conn.Open();
DataTable dbSchema = conn.GetOleDbSchemaTable(OleDbSchemaGuid.Tables, null);
string firstSheetName = dbSchema.Rows[0]["TABLE_NAME"].ToString();
using (OleDbCommand command = new OleDbCommand("SELECT * FROM [" + firstSheetName+ "]", conn)) // Offending line of code
为了修复此SQL Injection漏洞,我一直在研究上述代码的替代方法。有没有人有任何想法如何在不被标记为SQL注入漏洞的情况下执行此操作?我不想使用ActiveX office对象来执行此操作。
答案 0 :(得分:0)
如果您知道可能的表列表,则可以创建这些表的白名单,然后根据该白名单检查电子表格名称,如第一个示例所示。您也可以像第二个示例中那样进行过滤字符串方法验证。您也可以执行RegEx检查,如上一个代码示例
以下是您可能会调整以执行此过滤的一些示例代码(我只是将白名单检查取消注释):
bool targetStringInArray = false;
//Table name is in the whitelist
targetStringInArray = Array.Exists(tables, element => element == firstSheetName);
//Table Begins with begin with 'q'
//string[] tables = { "start", "q1","q3", "fyend", "q4"};
//targetStringInArray = Array.Exists(tables, firstSheetName=> firstSheetName.StartsWith("q"));
//Table name is only letters, numbers and underscores:
//targetStringInArray = Regex.IsMatch(firstSheetName, @"^[a-zA-Z0-9_]+$");
if (targetStringInArray)
{
using (OleDbCommand command = new OleDbCommand("SELECT * FROM [" + firstSheetName+ "]", conn)) // Offending line of code
}