防止MDX注入攻击

Question

用C#来防止MDX注入攻击的好方法是什么？我目前正在使用ADOMDClient，我应该使用不同的客户端吗？

Answer 1

我们可以创建参数化的MDX查询，通过将用户指定的字符串传递到MDX StrToSet、StrToTuple、StrToMember和StrToValue函数来防止MDX注入攻击。

下面是来自StrToSet的MDX StrToSet函数的几个示例。

下面的示例使用StrToSet函数返回国家省属性层次结构的一组成员。集合规范提供了一个有效的MDX集表达式。

SELECT StrToSet ('[Geography].[State-Province].Members')  
ON 0  
FROM [Adventure Works]

下面的示例返回由于受约束的标志造成的错误。虽然set规范提供了一个有效的MDX集表达式，但受限标志需要集合规范中的限定或非限定成员名。

SELECT StrToSet ('[Geography].[State-Province].Members', CONSTRAINED)  
ON 0  
FROM [Adventure Works]

下面的代码示例演示如何创建参数化查询，以及如何使用AdomdConnection对象执行该查询。

假设我们有以下通用的C#方法，它执行参数化的MDX查询并返回一个CellSet。

public CellSet GetCellSet(string connectionString, string query, IDictionary<string, object> parms)
{
    using (var conn = new AdomdConnection(connectionString))
    {
        // Open the connection.
        conn.Open();

        // Create the command.
        using (var cmd = conn.CreateCommand())
        {
            // Set the command query.
            cmd.CommandText = query;

            // Add any query parameters.
            if (parms != null)
            {
                foreach (var kv in parms)
                {
                    var parameter = cmd.CreateParameter();
                    parameter.ParameterName = kv.Key;
                    parameter.Value = kv.Value;

                    cmd.Parameters.Add(parameter);
                }
            }

            // Execute the query and return the CellSet.
            return cmd.ExecuteCellSet();
        }
    }
}

假设我们有另一个方法，允许客户端传递MDX集表达式的字符串表示形式。该方法将从多维数据集中选择集合，并返回结果的CellSet。

public CellSet GetMdxSetOnColumns(string setExpression)
{
    var connectionString = "replace with your connection string";

    // The query parameter @TheSet will be replaced with setExpression.
    var query = "SELECT StrToSet(@TheSet) ON 0 FROM [Adventure Works]";

    // Add the passed in string as a query parameter.
    var parms = new Dictionary<string, object>();

    // You can omit the "@" in front of the parameter name here.
    parms.Add("TheSet", setExpression);

    return GetCellSet(connectionString, query, parms);
}

客户端代码可以像这样调用此方法。

var cellSet = GetMdxSetOnColumns("[Geography].[State-Province].Members");