首页 Computer Science

# CodeQL

官方文档 https://codeql.github.com/docs/ql-language-reference/

# 1. QL 语言特性

逻辑语言,继承自 Datalog。例如,针对一个包含父子关系数据库,查询一个人的所有后代总数。逻辑表达

  1. 找到这个人的后代,孩子或者孩子的后代
  2. 计算总数

QL 查询语句如下

1
2
3
4
5
6
7
8
Person getADescendant(Person p) {
  result = p.getAChild() or
  result = getADescendant(p.getAChild())
}

int getNumberOfDescendants(Person p) {
  result = count(getADescendant(p))
}

# 2. Predicates 谓词

谓词用来描述逻辑关系,一个谓词测试一组元组。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
predicate isCountry(string country) {
  country = "Germany"
  or
  country = "Belgium"
  or
  country = "France"
}

predicate hasCapital(string country, string capital) {
  country = "Belgium" and capital = "Brussels"
  or
  country = "Germany" and capital = "Berlin"
  or
  country = "France" and capital = "Paris"
}

谓词 isCountry 是一元元组 {("Belgium"),("Germany"),("France")}

# 谓词定义规则:

  1. predicate - 没有返回结果 / 返回值类型 - 有返回结果
  2. 名字,以小写字母开头
  3. 参数,类型 + 名字,如果有多个参数,以逗号分隔
  4. 主体

  • 没有返回结果

    1
    2
    3
    predicate isSmall(int i) {
      i in [1 .. 9]
    }

  • 有返回结果

    1
    2
    3
    4
    int getSuccessor(int i) {
      result = i + 1 and
      i in [1 .. 9]
    }

# 谓词类型

  1. 非成员谓词 class 之外定义
  2. 特征谓词 class 内定义,且所有变量都被 this 限制
  3. 成员谓词 class 内定义
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
int getSuccessor(int i) {  // 1. Non-member predicate
  result = i + 1 and
  i in [1 .. 9]
}

class FavoriteNumbers extends int {
  FavoriteNumbers() {  // 2. Characteristic predicate
    this = 1 or
    this = 4 or
    this = 9
  }

  string getName() {   // 3. Member predicate for the class `FavoriteNumbers`
    this = 1 and result = "one"
    or
    this = 4 and result = "four"
    or
    this = 9 and result = "nine"
  }
}

# 谓词绑定

谓词必须能在有限时间内验证,所以其对应的集合不能是无限的,否则会报错

1
2
3
4
5
6
7
8
9
/*
  Compilation errors:
  ERROR: "i" is not bound to a value.
  ERROR: "result" is not bound to a value.
  ERROR: expression "i * 4" is not bound to a value.
*/
int multiplyBy4(int i) {
  result = i * 4
}

绑定集合

如果想创建 “无限谓词”,然后在有限集合上使用。必须添加注解 bindingset

1
2
3
4
5
6
7
8
bindingset[i]
int multiplyBy4(int i) {
  result = i * 4
}

from int i  // 数据集
where i in [1 .. 10]  // 限制条件
select multiplyBy4(i)  // 运算得到结果

# 数据集谓词

每个数据集都包含着一个记录值关系的表格,“database predicates”。其被认为是另一种 QL 中的谓词

# 3. Queries 查询

Queries 是 QL 程序的输出,对结果进行评估

两类 Queries

  • select clause 选择子句,在 module 中定义
  • query predicates 查询谓词,在 module 的谓词作用域,可以由模块自己定义,也可以从其他模块进行导入

# Select clauses

写一个查询模块(一般是 .ql 文件)时,可以包含一个选择子句,一般在文件末尾

1
2
3
from /* ... variable declarations ... */
where /* ... logical formula ... */
select /* ... expressions ... */

fromwhere 是可选项

expressions 的两个关键词

  • as ,紧跟一个名字,设置结果栏的标签
  • order by ,紧跟结果栏的名字,可以按顺序排列结果 两个顺序关键词, asc / desc
1
2
3
from int x, int y
where x = 3 and y in [0 .. 2]
select x, y, x * y as product, "product: " + product

结果

x y product [3]
3 0 0 0
3 1 3 3
3 2 6 6

可以在选择子句的最后添加 order by y desc ,结果会按照 y 的降序排列

1
2
3
from int x, int y
where x = 3 and y in [0 .. 2]
select x, y, x * y as product, "product: " + product order by y desc

结果

x y product [3]
3 2 6 6
3 1 3 3
3 0 0 0

# Query predicates

查询谓词就是带有 query 注解的非成员谓词,会返回所有谓词评估通过的元组

1
2
3
4
5
query int getProduct(int x, int y) {
  x = 3 and
  y in [0 .. 2] and
  result = x * y
}

结果

x y result
3 0 0
3 1 3
3 2 6

查询谓词的好处是可以在代码的其他部分调用,而选择子句不行。例如,你可以在类中使用 getProduct

1
2
3
class MultipleOfThree extends int {
  MultipleOfThree() { this = getProduct(_, _) }
}
更新于 阅读次数

请我喝[茶]~( ̄▽ ̄)~*

chaihj15 微信支付

微信支付

chaihj15 支付宝

支付宝