我正在编写一个Web应用程序,该应用程序将通过打开OLEDB连接来读取由经过身份验证的用户提交的Excel文件中的数据。 有人能告诉我以这种方式打开Excel文件的安全风险吗? 我知道危险的宏可能嵌入在Excel文件中,但使用OLEDB连接时仍然存在风险吗?
谢谢。
谢谢。
2个回答
3
不,使用OLEDB从Excel工作簿中读取数据时不存在“Excel”安全风险。任何安全风险都将通过ADO(OLEDB)而不是Microsoft Excel应用程序发生。因此,宏不是问题,单元格公式也不是问题。
您可能想搜索“ado oledb security excel”以满足好奇心,但我认为您不会找到任何需要担心的内容。
- AMissico
1
1@The Rook:我回答了这个问题,并建议他们搜索以满足自己我的答案是正确的。 - AMissico
-1
第一个问题是,您需要确保上传文件后,公众无法访问它。确保文件存储在Web根目录之外。您还必须确保他们不会上传具有.asp或.php扩展名的文件,或包含../../../../../的文件名。'content-type'是用户可控变量,检查此值是完全浪费时间。
接下来,当您以这种方式打开Excel文件时,它必须被解析。这会导致缓冲区溢出,例如this one。
确保您的系统完全更新,但即使如此,微软的安全记录非常糟糕,每年可能有很多天您都会面临漏洞。
- rook
3
"微软的安全记录很糟糕"? 主观陈述。请证明。 - AMissico
抱歉,但是“Excel文件”未被解析。您提供的链接不相关。 - AMissico
如果你真的相信微软是安全的,那么你手头上就有更大的问题。只需要看一下发布的CVE数量或IE已经未修补的天数即可。 - rook
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接