我们可以通过将用户指定的字符串传递到 MDX StrToSet、StrToTuple、StrToMember 和 StrToValue 函数来创建参数化 MDX 查询以防止 MDX 注入攻击。
以下是来自此 MSDN 页面的 MDX StrToSet 函数的一些示例。
以下示例使用 StrToSet 函数返回 State-Province 属性层次结构的成员集。集合规范提供了有效的 MDX 集合表达式。
SELECT StrToSet ('[Geography].[State-Province].Members')
ON 0
FROM [Adventure Works]
由于 CONSTRAINED 标志,以下示例返回错误。虽然集合规范提供了有效的 MDX 集合表达式,但 CONSTRAINED 标志需要集合规范中的限定或非限定成员名称。
SELECT StrToSet ('[Geography].[State-Province].Members', CONSTRAINED)
ON 0
FROM [Adventure Works]
下面的代码示例演示了如何创建参数化查询,以及如何使用 AdomdConnection 对象执行它。
假设我们有以下通用 C# 方法,该方法执行参数化的 MDX 查询并返回一个 CellSet。
public CellSet GetCellSet(string connectionString, string query, IDictionary<string, object> parms)
{
using (var conn = new AdomdConnection(connectionString))
{
// Open the connection.
conn.Open();
// Create the command.
using (var cmd = conn.CreateCommand())
{
// Set the command query.
cmd.CommandText = query;
// Add any query parameters.
if (parms != null)
{
foreach (var kv in parms)
{
var parameter = cmd.CreateParameter();
parameter.ParameterName = kv.Key;
parameter.Value = kv.Value;
cmd.Parameters.Add(parameter);
}
}
// Execute the query and return the CellSet.
return cmd.ExecuteCellSet();
}
}
}
假设我们有另一种方法,它允许客户端传入 MDX 集合表达式的字符串表示。该方法将从多维数据集中选择集合并返回结果的 CellSet。
public CellSet GetMdxSetOnColumns(string setExpression)
{
var connectionString = "replace with your connection string";
// The query parameter @TheSet will be replaced with setExpression.
var query = "SELECT StrToSet(@TheSet) ON 0 FROM [Adventure Works]";
// Add the passed in string as a query parameter.
var parms = new Dictionary<string, object>();
// You can omit the "@" in front of the parameter name here.
parms.Add("TheSet", setExpression);
return GetCellSet(connectionString, query, parms);
}
客户端代码可以像这样调用这个方法。
var cellSet = GetMdxSetOnColumns("[Geography].[State-Province].Members");
| 归档时间: |
|
| 查看次数: |
2223 次 |
| 最近记录: |