安全风险：OLEDB Excel

Question

我正在编写一个 Web 应用程序，它将通过打开与经过身份验证的用户提交的 Excel 文件的 OLEDB 连接来读取数据。谁能告诉我以这种方式打开 Excel 文件的安全风险吗？我知道危险的宏可以嵌入到 Excel 文件中，但是使用 OLEDB 连接时这仍然存在风险吗？

谢谢。

Answer 1

不会，使用 OLEDB 从 Excel 工作簿读取数据不存在“Excel”安全风险。任何安全风险都将通过 ADO (OLEDB) 而不是 Microsoft Excel 应用程序产生。因此，宏不是问题，单元格公式也不是问题。

您可能想搜索“ado oledb security excel”来满足您的好奇心，但我不相信您会发现任何值得担心的事情。

Answer 2

第一个问题是您需要确保文件上传后不能被公众访问。确保文件存储在 Web 根目录之外。您还必须确保他们不会上传带有 .asp 或 .php 扩展名的文件，或者包含 ../.. 的文件名。 /../../../. “内容类型”是用户控制的变量，检查该值完全是浪费。

接下来，当您以这种方式打开 Excel 文件时，必须对其进行解析。这会导致缓冲区溢出，例如

确保您的系统完全是最新的，但即使如此，微软的安全记录也很糟糕，您很可能每年有很多天都容易受到攻击。