安全风险:OLEDB Excel
我正在写一个Web应用程序,它将通过打开一个OLEDB连接来从一个经过validation的用户提交的Excel文件中读取数据。 谁能告诉我以这种方式打开Excel文件的安全隐患? 我知道危险的macros可以embedded到excel文件中,但是在使用OLEDB连接时仍然有风险吗?
谢谢。
不,使用OLEDB从Excel工作簿读取数据不存在“Excel”安全风险。 任何安全风险将通过ADO(OLEDB)而不是Microsoft Excel应用程序。 因此,macros不是一个问题,也不是细胞公式。
你可能想要search“ado oledb security excel”以满足你的好奇心,但我不相信你会发现任何担心的事情。
第一个问题是你需要确保在file upload之后不能被公众访问。 确保文件存储在Web根目录之外。 您还必须确保它们不上传具有.asp或.php扩展名的文件,或者包含../../../../../的文件名。 '内容types'是一个用户控制的variables,检查这个值是一个完整的和完全的浪费。
接下来是,当你打开一个excel文件这种方式,它必须被parsing。 这导致像这样的缓冲区溢出。
确保你的系统完全是最新的,但即使如此,微软仍然有着可怕的安全logging,并且很可能在每年的很多日子里你都会受到攻击。