使用C#防止MDX注入攻击的好方法是什么?我目前正在使用ADOMDClient,我应该使用不同的客户端吗?
答案 0 :(得分:4)
我们可以通过将用户指定的字符串传递到MDX StrToSet,StrToTuple,StrToMember和StrToValue函数来创建参数化MDX查询以防止MDX注入攻击。
以下是this MSDN page中MDX StrToSet函数的一些示例。
以下示例使用StrToSet函数返回State-Province属性层次结构的成员集。 set规范提供了有效的MDX集表达式。
SELECT StrToSet ('[Geography].[State-Province].Members')
ON 0
FROM [Adventure Works]
以下示例由于CONSTRAINED标志而返回错误。虽然set规范提供了有效的MDX集表达式,但CONSTRAINED标志在集规范中需要限定或不合格的成员名称。
SELECT StrToSet ('[Geography].[State-Province].Members', CONSTRAINED)
ON 0
FROM [Adventure Works]
以下代码示例演示了如何创建参数化查询,以及如何使用AdomdConnection对象执行它。
假设我们有以下通用C#方法,它执行参数化MDX查询并返回一个CellSet。
public CellSet GetCellSet(string connectionString, string query, IDictionary<string, object> parms)
{
using (var conn = new AdomdConnection(connectionString))
{
// Open the connection.
conn.Open();
// Create the command.
using (var cmd = conn.CreateCommand())
{
// Set the command query.
cmd.CommandText = query;
// Add any query parameters.
if (parms != null)
{
foreach (var kv in parms)
{
var parameter = cmd.CreateParameter();
parameter.ParameterName = kv.Key;
parameter.Value = kv.Value;
cmd.Parameters.Add(parameter);
}
}
// Execute the query and return the CellSet.
return cmd.ExecuteCellSet();
}
}
}
假设我们有另一种方法允许客户端传入MDX集表达式的字符串表示形式。该方法将从多维数据集中选择集合并返回结果的CellSet。
public CellSet GetMdxSetOnColumns(string setExpression)
{
var connectionString = "replace with your connection string";
// The query parameter @TheSet will be replaced with setExpression.
var query = "SELECT StrToSet(@TheSet) ON 0 FROM [Adventure Works]";
// Add the passed in string as a query parameter.
var parms = new Dictionary<string, object>();
// You can omit the "@" in front of the parameter name here.
parms.Add("TheSet", setExpression);
return GetCellSet(connectionString, query, parms);
}
客户端代码可以像这样调用此方法。
var cellSet = GetMdxSetOnColumns("[Geography].[State-Province].Members");