Query string injection 漏洞会在以下情况下发生：
1. 数据从一个不可信赖的数据源进入程序。



2. 数据被用于动态地构造 SimpleDB 查询字符串。

例 1：以下代码动态地构造并执行了一个 SimpleDB select() 查询，该查询可搜索与用户指定产品类别相匹配的清单。用户还可以指定对结果进行排序的列。假定在执行此代码片段之前已正确验证了应用程序并设置了 customerID 的值。

...
String customerID = getAuthenticatedCustomerID(customerName, customerCredentials);
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
String query = "select * from invoices where productCategory = '"
            + productCategory + "' and customerID = '"
            + customerID + "' order by '"
            + sortColumn + "' asc";
SelectResult sdbResult = sdbc.select(new SelectRequest(query));
...

这一代码所执行的查询如下所示：

select * from invoices
where productCategory = 'Fax Machines'
and customerID = '12345678'
order by 'price' asc

但是，由于这个查询是动态构造的，它由一个不变的基查询字符串和一个用户输入字符串连接而成，因此仅当 productCategory 和 price 不包含单引号字符时，才会正确执行这一查询。但是，如果攻击者为 productCategory 提供了字符串“Fax Machines' or productCategory = \"”，并为 sortColumn 提供了字符串“\" order by 'price”，则查询将变为如下所示：

select * from invoices
where productCategory = 'Fax Machines' or productCategory = "'
and customerID = '12345678'
order by '" order by 'price' asc

或者采用以下人类可读性更好的形式：

select * from invoices
where productCategory = 'Fax Machines'
or productCategory = "' and customerID = '12345678' order by '"
order by 'price' asc

这些输入使攻击者能够绕过 customerID 所要求的 Authentication，并查看与 'Fax Machines' 相匹配的所有客户清单记录。

Query string injection 漏洞会在以下情况下发生：
1. 数据从一个不可信赖的数据源进入程序。



在这种情况下，Fortify Static Code Analyzer（Fortify 静态代码分析器）无法确定数据源是否可信赖。

2. 数据用于动态地构造一个 SQLite 查询。

SQLite query string injection 允许恶意用户查看未经授权的记录，但不允许用户以任何方式更改数据库的状态。

例 1：以下代码动态地构造并执行了一个 SQLite 查询，该查询可搜索与客户和用户指定产品类别相关联的清单。用户还可以指定对结果进行排序的列。假定在执行此代码片段之前已正确验证了程序和设置了 customerID 的值。

  ...
  productCategory = this.getIntent().getExtras().getString("productCategory");
  sortColumn = this.getIntent().getExtras().getString("sortColumn");
  customerID = getAuthenticatedCustomerID(customerName, customerCredentials);
  c = invoicesDB.query(Uri.parse(invoices), columns, "productCategory = '" + productCategory + "' and customerID = '" + customerID + "'", null, null, null, "'" + sortColumn + "'asc", null);
  ...
  

这一代码所执行的查询如下所示：

  select * from invoices
  where productCategory = 'Fax Machines'
  and customerID = '12345678'
  order by 'price' asc
  

但是，这个查询是动态构造的，由一个常数基查询字符串和一个用户输入字符串 productCategory 连在一起形成。因此只有在 productCategory 与 sortColumn 不包含单引号字符时，这一查询才能正确执行。如果攻击者为 productCategory 提供了字符串“Fax Machines' or productCategory = \"”，并为 sortColumn 提供了字符串“\" order by 'price”，则查询将变为如下所示：

  select * from invoices
  where productCategory = 'Fax Machines' or productCategory = "'
  and customerID = '12345678'
  order by '" order by 'price' asc
  

或者采用以下可读性更好的形式：

  select * from invoices
  where productCategory = 'Fax Machines'
  or productCategory = "' and customerID = '12345678' order by '"
  order by 'price' asc
  

这些输入使攻击者能绕过 customerID 所要求的 authentication，并查看与 'Fax Machines' 相匹配的所有客户清单记录。

HttpRequest 类可通过编程的方式利用数组（例如 Request["myParam"]）访问 QueryString、Form、Cookies 或 ServerVariables 集合中的变量。如果多个变量使用相同的名称，.NET 框架将返回按以下顺序搜索这些集合时最先显示的变量值：QueryString、Form、Cookies、ServerVariables。由于 QueryString 会首先搜索，因此 QueryString 参数可能会取代 Form、Cookies 和 ServerVariables 变量的值。同样，Form 值可能会取代 Cookies 和 ServerVariables 集合中的变量，Cookies 集合中的变量可能会取代 ServerVariables 中的变量。
示例 1：假设某个银行应用程序将用户的电子邮件地址临时存储在 Cookie 中，并在需要联系用户时读取该值。以下代码会读取 Cookie 值，并将帐户余额发送到指定的电子邮件地址。

...
    String toAddress = Request["email"];        //Expects cookie value
    Double balance = GetBalance(userID);
    SendAccountBalance(toAddress, balance);
...

假设在访问 http://www.example.com/GetBalance.aspx 时执行Example 1 中的代码。如果攻击者能够使经过身份验证的用户单击请求 http://www.example.com/GetBalance.aspx?email=evil%40evil.com 的链接，则会将包含该用户的帐户余额的电子邮件发送到 evil@evil.com。

HttpRequest 类可通过编程的方式利用数组（例如 Request["myParam"]）访问 QueryString、Form、Cookies 或 ServerVariables 集合中的变量。如果多个变量使用相同的名称，.NET 框架将返回按以下顺序搜索这些集合时最先显示的变量值：QueryString、Form、Cookies、ServerVariables。由于 QueryString 会首先搜索，因此 QueryString 参数可能会取代 Form、Cookies 和 ServerVariables 变量的值。同样，Form 值可能会取代 Cookies 和 ServerVariables 集合中的变量，Cookies 集合中的变量可能会取代 ServerVariables 中的变量。
示例 1：以下代码将检查 HTTP Referer 头文件服务器变量，在对内容提供服务之前确定请求是否来自 www.example.com。

    ...
    if (Request["HTTP_REFERER"].StartsWith("http://www.example.com"))
        ServeContent();
    else
        Response.Redirect("http://www.example.com/");
    ...

假设在访问 http://www.example.com/ProtectedImages.aspx 时执行Example 1 中的代码。如果攻击者直接请求该 URL，则不会设置相应的 referer 标头，并且该请求将失败。然而，如果攻击者提交具有所需值的假冒 HTTP_REFERER 参数，例如 http://www.example.com/ProtectedImages.aspx?HTTP_REFERER=http%3a%2f%2fwww.example.com，则查找将从 QueryString 而不是 ServerVariables 返回值，并且此检查将成功。