Excel 导入的 SQL 注入漏洞 [重复]

Question

我一直在研究为 ASP.NET WebForms 应用程序生成的安全报告。我们代码中的某些区域已被注意到是潜在的 SQL 注入漏洞。我一直在我们的代码库中研究这些区域，它们似乎都是我们导入 excel 工作簿的地方。有问题的代码似乎是当我们尝试根据工作簿中第一张工作表的名称创建 OleDbCommand 时。我们正在使用 OleDbConnection 对象连接到数据库（excel 工作表），该对象读取数据库模式以查找第一个工作表的名称。然后，我们使用该名称动态构造一个 SQL 命令。示例代码可能如下所示：

    String connectionString = String.Format(
                "Provider=Microsoft.ACE.OLEDB.12.0;Data Source={0};" +
                "Extended Properties=\"Excel 12.0;HDR=NO;IMEX=1\"", sFullPath);
    OleDbConnection conn = new OleDbConnection(connectionString);
    conn.Open();
    DataTable dbSchema = conn.GetOleDbSchemaTable(OleDbSchemaGuid.Tables, null);
    string firstSheetName = dbSchema.Rows[0]["TABLE_NAME"].ToString();
    using (OleDbCommand command = new OleDbCommand("SELECT * FROM [" + firstSheetName+ "]", conn)) // Offending line of code

为了修复这个 SQL 注入漏洞，我一直在寻找上述代码的替代方案。有没有人知道如何在不被标记为 SQL 注入漏洞的情况下执行此操作？我不想使用 ActiveX office 对象来执行此操作。

Answer 1

如果您知道可能的表列表，则可以创建这些表的白名单，然后根据该白名单检查电子表格名称，如第一个示例所示。您还可以像第二个示例中那样进行过滤字符串方法验证。您也可以像上一个代码示例一样进行 RegEx 检查

以下是一些示例代码，您可能会采用这些示例代码来执行此过滤（我只是未注释白名单检查）：

bool targetStringInArray = false;

 //Table name is in the whitelist
targetStringInArray = Array.Exists(tables, element => element == firstSheetName);

//Table Begins with begin with 'q'
//string[] tables = { "start", "q1","q3", "fyend", "q4"};
//targetStringInArray = Array.Exists(tables, firstSheetName=> firstSheetName.StartsWith("q"));

//Table name is only letters, numbers and underscores:
//targetStringInArray = Regex.IsMatch(firstSheetName, @"^[a-zA-Z0-9_]+$");



if (targetStringInArray)
{
  using (OleDbCommand command = new OleDbCommand("SELECT * FROM [" + firstSheetName+ "]", conn)) // Offending line of code
}