codeql学习笔记
codeql简单语法记录
简单记录一下CodeQL的一些基础语法
详细请阅读
https://codeql.github.com/docs/ql-language-reference/
QL基础
QL语言
QL是⼀种声明性的,⾯向对象的查询语⾔,经过优化可实现对分层数据结构(尤其是表示软件⼯件的数据
库)的⾼效分析。
数据库是有组织的数据集合。最常⽤的数据库模型是将数据存储在表中的关系模型,⽽SQL(结构化查询
语⾔)是关系数据库最常⽤的查询语⾔。
⾯向对象是QL的重要特征。⾯向对象的好处是众所周知的–它提⾼了模块性,实现了信息隐藏,并允许代
码重⽤。QL在不损害其逻辑基础的情况下提供了所有这些好处。这是通过定义⼀个简单的对象模型实现
的,其中将类建模为谓词,将继承建模为隐含。可⽤于所有受⽀持语⾔的库⼴泛使⽤了类和继承。
QL基本数据类型
int类型
from int i
where i = -16
select i.abs().sqrt()
字符串类型
from string s1, string s2
where s1 = "try harder" and s2 = "\"nice\""
select s1, s2
整数和浮点数
from float a, int b
where a = 4.28 and b = 6
select a.pow(b), b.sqrt(), a, b
布尔型
布尔型变量⽤来存放布尔值,即false(假)或者 true(真)。
from boolean b
where b = true
select b.booleanNot(), b.booleanAnd(b)
变量Variable
所有变量声明均由变量的类型和名称组成。名称可以是任何以⼤写或⼩写字⺟开头的标识符。
QL中的变量与代数或逻辑中的变量的使⽤⽅式相似。它们表示⼀组值,这些值通常受公式限制。
变量声明出现在不同的上下⽂中,例如在select⼦句,量化公式内,作为谓词的参数等
from int i
where i in [0 .. 9]
select i
仅根据其类型,变量 i 可以包含所有整数。但是,它受公式 i in [0 .. 9] 约束。因此,select⼦句的
结果是介于 0 到 9 之间的数字。
自由变量和约束变量
QL中有些变量是free variable,值直接影响使用他们表达式的值,或者使用他们的公式是否成立
有些变量bound variable仅限于特定的值集
"hello".indexOf("l")
min(float f | f in [-3 .. 3])
(i + 7) * 3
x.sqrt()
如上四个表达式
第⼀个表达式没有任何变量。它找到 "l" 字符串中出现位置的(从零开始的)索引 "hello" ,因此它的
结果为 2 和 3 。
第二个表达式有变量f,但是不影响表达式的值为-3。所以f为bound variable
第三,四个表达式值取决于变量的值,所以为free variable
同样,如果⼀个公式包含⾃由变量,则该公式可以保留还是不保留,取决于分配给这些变量的值。
比如(i + 7) * 3 instanceof int
i为自由变量,如果i为整数公式成立,为小数则不成立。
表达式Expressions
表达式的计算结果为⼀组值并具有⼀个类型。
引用变量Variable references
变量引⽤是已声明变量的名称。这种类型的表达式与其所引⽤的变量具有相同的类型。
常量Literal
- 布尔文字
truefalse - 整数文字
0-45 - 浮点文字
1.1314 - 字符串文字
hello
QL中没有“⽇期⽂字”。相反,要指定⼀个date,您应该使⽤ toDate() 谓词将字符串转换为它表示的⽇期。例如, "2016-04-03".toDate() ⽇期是2016年4⽉3⽇,是2000年新年后⼀秒的时间点。 "2000-01-01 00:00:01".toDate()
括号表达式Parenthesis expressions
带括号的表达式是⽤括号 ( 和括起来的表达式 ) 。此表达式的类型和值与原始表达式完全相同。括号可⽤于将表达式分组在⼀起以消除歧义并提⾼可读性。
范围表达式Ranges
它由两个表达式分隔, .. 并⽤⽅括号( [ 和 ] )括起来。例如,是有效的范围表达式。它的值是和之间(包括和本身)之间的任何整数 。 [3 .. 7] 表示3和7内所有的整数在有效范围内,开始和结束表达式是整数,浮点数或⽇期。
常量范围表达式Set literal expressions
可以设置⼀个常量范围表达式,例如: [2, 3, 5, 7, 11, 13, 17, 19, 23, 29] 它表示30以内的质数
超级表达式Super expressions
当您要使用超类型的谓词定义时,可以在谓词调⽤中使用它们。
class A extends int {
A() { this = 1 }
int getANumber() { result = 2 }
}
class B extends int {
B () {this = 1}
int getANumber() {result = 3}
}
class C extends A, B {
int getANumber(){
result = B.super.getANumber()
}
}
from C c
select c, c.getANumber()
在下面的示例中,该类 C 继承了谓词的两个定义 getANumber() - A ⼀个来⾃和⼀个来自 B 。而不是覆盖两个定义,它使用中的定义 B
聚合Aggregations
<aggregate>(<variable declarations> | <formula> | <expression>)
QL中的汇总
- count
- min,max
- avg
- sum
- concat
- rank
- unique
查询Query
Select子句
from /*...variable declarations...*/
where /*...logical formula...*/
select /*...expressions...*/
from和where部分可选
还有as关键字 order by关键字
from int x, int y
where x = 3 and y in [0 .. 3]
select x, y, x*y as test, "result:" + test
查询谓词
查询谓词是带有注释的非成员谓词query。它返回谓词求值的所有元祖
query int getResult(int x, int y){
x = [1..2] and y = 3 and result = x * y
}
编写查询谓词⽽不是select⼦句的好处是,您也可以在代码的其他部分调⽤谓词。
递归Recursion
例子,输出从0到100的整数
int getANumber(){
result = 0 or result <= 100 and result = getANumber() + 1
}
select getANumber()
相互递归
int getAnEven() {
result = 0 or result <= 100 and result = getAnOdd() +1
}
int getAnOdd() {
result = getAnEven() + 1
}
select getAnEven()
查询从0到100 的偶数
公式
逻辑连接词
- not
- if...then...else
- and
- or
- implies
A implies B和(not A) or B等价
类Class
定义一个类
- 关键字class
- 类的名称,一个以字母开头的标识符
- 要扩展的类型
- 类的主体,用大括号括起来
class OneTwoThree extends int {
OneTwoThree(){
this = 1 or this = 2 or this = 3
}
string getAString() {
result = "test:" + this.toString()
}
predicate isEven() {
this = 2
}
}
select 1.(OneTwoThree).getAString()
字段Field
这些是在类主体中声明的变量。⼀个类在其主体内可以具有任意数量的字段声明(即变量声明)。您可以在类内部的谓词声明中使⽤这些变量。就像变量⼀样 this ,字段必须限制在特征谓词中。
class SmallInt extends int {
SmallInt() { this = [1 .. 10] }
}
class DivisibleInt extends SmallInt {
SmallInt divisor;
DivisibleInt(){ this % divisor = 0 }
SmallInt getADivisor() { result = divisor }
}
from DivisibleInt i
select i, i.getADivisor()
在此示例中,声明引⼊了⼀个字段,将其约束在特征谓词中,然后在成员谓词的声明中使⽤它 。这类似于在部分中通过在select语句中声明变量来引⼊变量 。 SmallInt divisor divisor getADivisor from
重写成员谓词
如果类从超类型继承成员谓词,则可以覆盖继承的定义。为此,您可以定义⼀个成员谓词,该成员谓词的名称和别名与继承的谓词相同,并添加 override 注解。
class OneTwoThree extends int {
OneTwoThree() {
this = 1 or this = 2 or this =3
}
string getAString() {
result = "One, two or three: " + this.toString()
}
}
class OneTwo extends OneTwoThree {
OneTwo() {
this = 1 or this = 2
}
override string getAString() {
result = "One or two: "+this.toString()
}
}
from OneTwoThree o
select o, o.getAString()
多重继承
一个类扩展多种类型
class Two extends OneTwo, TwoThree {}
模块modules
文件模块file module
每个查询⽂件(扩展名 .ql )和库⽂件(扩展名 .qll )都隐式定义了⼀个模块。模块的名称与⽂件相同,但⽂件名中的所有空格均由下划线( _ )代替。⽂件的内容构成模块的主体。
库模块Library module
有.qll文件定义。除select子句外,它可以包含下面模块主体列出的任何元素
查询模块Query module
由.ql文件定义
- 查询模块无法导入
- 一个查询模块在其namespace中必须有一个查询。通常是select子句,也可以是查询谓词
谓词Predicates
定义谓词条件:
- 关键字predicate或者结果类型
- 谓词的名称
- 谓词的参数
- 谓词体本身
谓词种类
非成员谓词,成员谓词,特征谓词
int getSuccessor(int i){// 1. Non-member predicate
result = i + 1 and
i in [1 .. 9]
}
class FavoriteNumbers extends int {// 2. Characteristic predicate
FavoriteNumbers() {
this = 1 or this = 4 or this = 9
}
string getName() {// 3. Member predicate for the class `FavoriteNumbers`
this = 1 and result = "one"
or
this = 4 and result = "four"
or
this = 9 and result = "nine"
}
}
from int i
where i = 9
select getSuccessor(i)
int getSuccessor(int i){
result = i + 1 and
i in [1 .. 9]
}
class FavoriteNumbers extends int {
FavoriteNumbers() {
this = 1 or this = 4 or this = 9
}
string getName() {
this = 1 and result = "one"
or
this = 4 and result = "four"
or
this = 9 and result = "nine"
}
}
from FavoriteNumbers f
select f, f.getName()
