MySQL :: MySQL 8.4 参考手册 :: 14.11 XML 函数

版本 8.4

8.0 日语

14.11 XML 函数

表 14.16 XML 函数

名称	说明
`ExtractValue()`	使用 XPath 表示法从 XML 字符串中提取值
`UpdateXML()`	返回替换后的 XML 片段

本节讨论 MySQL 中的 XML 和相关功能。

注意

可以通过使用 mysql 和 mysqldump 客户端并使用 --xml 选项调用它们来从 MySQL 中获取 XML 格式的输出。请参阅第 6.5.1 节，“mysql — MySQL 命令行客户端” 和第 6.5.4 节，“mysqldump — 数据库备份程序”。

有两个函数提供基本的 XPath 1.0（XML 路径语言，版本 1.0）功能。本节后面将提供有关 XPath 语法和用法的一些基本信息。但是，对这些主题的深入讨论超出了本手册的范围，您应该参考 XML 路径语言 (XPath) 1.0 标准以获取确切信息。对于 XPath 新手或希望复习基础知识的人来说，一个有用的资源是 Zvon.org XPath 教程，该教程提供多种语言版本。

注意

这些函数仍在开发中。我们将继续在 MySQL 8.4 及更高版本中改进这些功能以及 XML 和 XPath 功能的其他方面。您可以在 MySQL XML 用户论坛中讨论这些问题，提出有关这些问题的问题，并从其他用户那里获得帮助。

与这些函数一起使用的 XPath 表达式支持用户变量和本地存储程序变量。用户变量的检查较弱；存储程序本地的变量的检查较强（另请参阅错误 #26518）。

用户变量（弱检查）。 不会检查使用语法 $@variable_name（即用户变量）的变量。如果变量类型错误或之前未分配值，则服务器不会发出警告或错误。这也意味着用户要对任何拼写错误负全部责任，因为如果使用 $@myvairable 代替 $@myvariable（例如），则不会发出警告。

示例

mysql> SET @xml = '<a><b>X</b><b>Y</b></a>';
Query OK, 0 rows affected (0.00 sec)

mysql> SET @i =1, @j = 2;
Query OK, 0 rows affected (0.00 sec)

mysql> SELECT @i, ExtractValue(@xml, '//b[$@i]');
+------+--------------------------------+
| @i   | ExtractValue(@xml, '//b[$@i]') |
+------+--------------------------------+
|    1 | X                              |
+------+--------------------------------+
1 row in set (0.00 sec)

mysql> SELECT @j, ExtractValue(@xml, '//b[$@j]');
+------+--------------------------------+
| @j   | ExtractValue(@xml, '//b[$@j]') |
+------+--------------------------------+
|    2 | Y                              |
+------+--------------------------------+
1 row in set (0.00 sec)

mysql> SELECT @k, ExtractValue(@xml, '//b[$@k]');
+------+--------------------------------+
| @k   | ExtractValue(@xml, '//b[$@k]') |
+------+--------------------------------+
| NULL |                                |
+------+--------------------------------+
1 row in set (0.00 sec)

存储程序中的变量（强检查）。 当在存储程序内部调用这些函数时，可以使用语法 $variable_name 声明和使用变量。此类变量对于定义它们的存储程序而言是本地的，并且会对其类型和值进行严格检查。

示例

mysql> DELIMITER |

mysql> CREATE PROCEDURE myproc ()
    -> BEGIN
    ->   DECLARE i INT DEFAULT 1;
    ->   DECLARE xml VARCHAR(25) DEFAULT '<a>X</a><a>Y</a><a>Z</a>';
    ->
    ->   WHILE i < 4 DO
    ->     SELECT xml, i, ExtractValue(xml, '//a[$i]');
    ->     SET i = i+1;
    ->   END WHILE;
    -> END |
Query OK, 0 rows affected (0.01 sec)

mysql> DELIMITER ;

mysql> CALL myproc();
+--------------------------+---+------------------------------+
| xml                      | i | ExtractValue(xml, '//a[$i]') |
+--------------------------+---+------------------------------+
| <a>X</a><a>Y</a><a>Z</a> | 1 | X                            |
+--------------------------+---+------------------------------+
1 row in set (0.00 sec)

+--------------------------+---+------------------------------+
| xml                      | i | ExtractValue(xml, '//a[$i]') |
+--------------------------+---+------------------------------+
| <a>X</a><a>Y</a><a>Z</a> | 2 | Y                            |
+--------------------------+---+------------------------------+
1 row in set (0.01 sec)

+--------------------------+---+------------------------------+
| xml                      | i | ExtractValue(xml, '//a[$i]') |
+--------------------------+---+------------------------------+
| <a>X</a><a>Y</a><a>Z</a> | 3 | Z                            |
+--------------------------+---+------------------------------+
1 row in set (0.01 sec)

参数。 存储例程中 XPath 表达式中使用的作为参数传入的变量也要经过严格检查。

除符号外，包含用户变量或存储程序本地变量的表达式必须符合 XPath 1.0 规范中给出的包含变量的 XPath 表达式的规则。

注意

用于存储 XPath 表达式的用户变量将被视为一个空字符串。因此，无法将 XPath 表达式存储为用户变量。（错误 #32911）

ExtractValue(xml_frag, xpath_expr)

ExtractValue() 接受两个字符串参数，一个 XML 标记片段 xml_frag 和一个 XPath 表达式 xpath_expr（也称为定位器）；它返回与 XPath 表达式匹配的元素的第一个文本节点的文本 (CDATA)。

使用此函数等效于在追加 /text() 后使用 xpath_expr 执行匹配。换句话说，ExtractValue('<a>Sakila</a>', '/a/b') 和 ExtractValue('<a>Sakila</a>', '/a/b/text()') 产生相同的结果。如果 xml_frag 或 xpath_expr 是 NULL，则该函数返回 NULL。

如果找到多个匹配项，则每个匹配元素的第一个子文本节点的内容将作为单个以空格分隔的字符串返回（按匹配顺序）。

如果未找到与表达式匹配的文本节点（包括隐式 /text()）（无论出于何种原因，只要 xpath_expr 有效，并且 xml_frag 由正确嵌套和关闭的元素组成），则返回一个空字符串。在空元素上的匹配和根本没有匹配之间没有区别。这是设计使然。

如果需要确定在 xml_frag 中是否找到了匹配的元素，或者找到了这样的元素但它不包含子文本节点，则应该测试使用 XPath count() 函数的表达式的结果。例如，这两个语句都返回一个空字符串，如下所示：

mysql> SELECT ExtractValue('<a><b/></a>', '/a/b');
+-------------------------------------+
| ExtractValue('<a><b/></a>', '/a/b') |
+-------------------------------------+
|                                     |
+-------------------------------------+
1 row in set (0.00 sec)

mysql> SELECT ExtractValue('<a><c/></a>', '/a/b');
+-------------------------------------+
| ExtractValue('<a><c/></a>', '/a/b') |
+-------------------------------------+
|                                     |
+-------------------------------------+
1 row in set (0.00 sec)

但是，您可以使用以下方法确定实际上是否存在匹配的元素：

mysql> SELECT ExtractValue('<a><b/></a>', 'count(/a/b)');
+-------------------------------------+
| ExtractValue('<a><b/></a>', 'count(/a/b)') |
+-------------------------------------+
| 1                                   |
+-------------------------------------+
1 row in set (0.00 sec)

mysql> SELECT ExtractValue('<a><c/></a>', 'count(/a/b)');
+-------------------------------------+
| ExtractValue('<a><c/></a>', 'count(/a/b)') |
+-------------------------------------+
| 0                                   |
+-------------------------------------+
1 row in set (0.01 sec)

重要

ExtractValue() 仅返回 CDATA，不返回匹配标记中可能包含的任何标记，也不返回其任何内容（请参阅以下示例中作为 val1 返回的结果）。

mysql> SELECT
    ->   ExtractValue('<a>ccc<b>ddd</b></a>', '/a') AS val1,
    ->   ExtractValue('<a>ccc<b>ddd</b></a>', '/a/b') AS val2,
    ->   ExtractValue('<a>ccc<b>ddd</b></a>', '//b') AS val3,
    ->   ExtractValue('<a>ccc<b>ddd</b></a>', '/b') AS val4,
    ->   ExtractValue('<a>ccc<b>ddd</b><b>eee</b></a>', '//b') AS val5;

+------+------+------+------+---------+
| val1 | val2 | val3 | val4 | val5    |
+------+------+------+------+---------+
| ccc  | ddd  | ddd  |      | ddd eee |
+------+------+------+------+---------+

此函数使用当前 SQL 校对规则，使用 contains() 进行比较，执行与其他字符串函数（例如 CONCAT()）相同的校对聚合，同时考虑其参数的校对强制性；有关控制此行为的规则的说明，请参阅第 12.8.4 节“表达式中的校对强制性”。

（以前，始终使用二进制比较，即区分大小写。）

如果 xml_frag 包含未正确嵌套或关闭的元素，则返回 NULL 并生成警告，如本例所示

mysql> SELECT ExtractValue('<a>c</a><b', '//a');
+-----------------------------------+
| ExtractValue('<a>c</a><b', '//a') |
+-----------------------------------+
| NULL                              |
+-----------------------------------+
1 row in set, 1 warning (0.00 sec)

mysql> SHOW WARNINGS\G
*************************** 1. row ***************************
  Level: Warning
   Code: 1525
Message: Incorrect XML value: 'parse error at line 1 pos 11:
         END-OF-INPUT unexpected ('>' wanted)'
1 row in set (0.00 sec)

mysql> SELECT ExtractValue('<a>c</a><b/>', '//a');
+-------------------------------------+
| ExtractValue('<a>c</a><b/>', '//a') |
+-------------------------------------+
| c                                   |
+-------------------------------------+
1 row in set (0.00 sec)

UpdateXML(xml_target, xpath_expr, new_xml)

此函数使用新的 XML 片段 new_xml 替换给定 XML 标记片段 xml_target 的单个部分，然后返回更改后的 XML。替换的 xml_target 部分与用户提供的 XPath 表达式 xpath_expr 匹配。

如果未找到与 xpath_expr 匹配的表达式，或者找到多个匹配项，则该函数将返回原始 xml_target XML 片段。所有三个参数都应该是字符串。如果 UpdateXML() 的任何参数为 NULL，则该函数返回 NULL。

mysql> SELECT
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '/a', '<e>fff</e>') AS val1,
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '/b', '<e>fff</e>') AS val2,
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '//b', '<e>fff</e>') AS val3,
    ->   UpdateXML('<a><b>ccc</b><d></d></a>', '/a/d', '<e>fff</e>') AS val4,
    ->   UpdateXML('<a><d></d><b>ccc</b><d></d></a>', '/a/d', '<e>fff</e>') AS val5
    -> \G

*************************** 1. row ***************************
val1: <e>fff</e>
val2: <a><b>ccc</b><d></d></a>
val3: <a><e>fff</e><d></d></a>
val4: <a><b>ccc</b><e>fff</e></a>
val5: <a><d></d><b>ccc</b><d></d></a>

注意

深入讨论 XPath 语法和用法超出了本手册的范围。有关确切信息，请参阅 XML 路径语言 (XPath) 1.0 规范。对于 XPath 新手或希望复习基础知识的人来说，一个有用的资源是 Zvon.org XPath 教程，该教程提供多种语言版本。

以下是一些基本 XPath 表达式的描述和示例

/tag
仅当 <tag/> 是根元素时才匹配 <tag/>。
示例：/a 在 <a></a> 中有一个匹配项，因为它匹配最外层（根）标记。它与 <a/> 中的内部 a 元素不匹配，因为在这种情况下，它是另一个元素的子元素。
/tag1/tag2
仅当 <tag2/> 是 <tag1/> 的子元素，并且 <tag1/> 是根元素时才匹配 <tag2/>。
示例：/a/b 与 XML 片段 <a></a> 中的 b 元素匹配，因为它是根元素 a 的子元素。它与 <a/> 中的元素不匹配，因为在这种情况下，b 是根元素（因此不是任何其他元素的子元素）。XPath 表达式也不与 <a><c></c></a> 中的元素匹配；此处，b 是 a 的后代，但实际上不是 a 的子元素。
此结构可扩展到三个或更多元素。例如，XPath 表达式 /a/b/c 与片段 <a><c/></a> 中的 c 元素匹配。

//tag

匹配 <tag> 的任何实例。

示例：//a 与以下任何一项中的 a 元素匹配：<a><c/></a>；<c><a></a>；<c><a/></c>。

// 可以与 / 组合使用。例如，//a/b 与片段 <a></a> 或 <c><a></a></c> 中的 b 元素匹配。

注意

//tag 等效于 /descendant-or-self::*/tag。一个常见的错误是将此与 /descendant-or-self::tag 混淆，尽管后一个表达式实际上会导致非常不同的结果，如下所示

mysql> SET @xml = '<a><b><c>w</c><b>x</b><d>y</d>z</b></a>';
Query OK, 0 rows affected (0.00 sec)

mysql> SELECT @xml;
+-----------------------------------------+
| @xml                                    |
+-----------------------------------------+
| <a><b><c>w</c><b>x</b><d>y</d>z</b></a> |
+-----------------------------------------+
1 row in set (0.00 sec)

mysql> SELECT ExtractValue(@xml, '//b[1]');
+------------------------------+
| ExtractValue(@xml, '//b[1]') |
+------------------------------+
| x z                          |
+------------------------------+
1 row in set (0.00 sec)

mysql> SELECT ExtractValue(@xml, '//b[2]');
+------------------------------+
| ExtractValue(@xml, '//b[2]') |
+------------------------------+
|                              |
+------------------------------+
1 row in set (0.01 sec)

mysql> SELECT ExtractValue(@xml, '/descendant-or-self::*/b[1]');
+---------------------------------------------------+
| ExtractValue(@xml, '/descendant-or-self::*/b[1]') |
+---------------------------------------------------+
| x z                                               |
+---------------------------------------------------+
1 row in set (0.06 sec)

mysql> SELECT ExtractValue(@xml, '/descendant-or-self::*/b[2]');
+---------------------------------------------------+
| ExtractValue(@xml, '/descendant-or-self::*/b[2]') |
+---------------------------------------------------+
|                                                   |
+---------------------------------------------------+
1 row in set (0.00 sec)


mysql> SELECT ExtractValue(@xml, '/descendant-or-self::b[1]');
+-------------------------------------------------+
| ExtractValue(@xml, '/descendant-or-self::b[1]') |
+-------------------------------------------------+
| z                                               |
+-------------------------------------------------+
1 row in set (0.00 sec)

mysql> SELECT ExtractValue(@xml, '/descendant-or-self::b[2]');
+-------------------------------------------------+
| ExtractValue(@xml, '/descendant-or-self::b[2]') |
+-------------------------------------------------+
| x                                               |
+-------------------------------------------------+
1 row in set (0.00 sec)

* 运算符充当与任何元素匹配的““通配符””。例如，表达式 /*/b 与 XML 片段 <a></a> 或 <c></c> 中的 b 元素匹配。但是，该表达式不会在片段 <a/> 中生成匹配项，因为 b 必须是其他某个元素的子元素。通配符可以在任何位置使用：表达式 /*/b/* 匹配 b 元素的任何子元素，而 b 元素本身不是根元素。
您可以使用 |（UNION）运算符匹配多个定位符中的任何一个。例如，表达式 //b|//c 匹配 XML 目标中的所有 b 和 c 元素。
也可以根据元素的一个或多个属性的值来匹配元素。这可以使用语法 tag[@attribute="value"] 来完成。例如，表达式 //b[@id="idB"] 与片段 <a><c/></a> 中的第二个 b 元素匹配。要匹配具有任何 attribute="value" 的元素，请使用 XPath 表达式 //*[attribute="value"]。
要过滤多个属性值，只需依次使用多个属性比较子句。例如，表达式 //b[@c="x"][@d="y"] 匹配在给定 XML 片段中任何位置出现的元素 。
要查找同一属性与多个值中的任何一个匹配的元素，可以使用由 | 运算符连接的多个定位符。例如，要匹配其 c 属性具有值 23 或 17 的所有 b 元素，请使用表达式 //b[@c="23"]|//b[@c="17"]。您也可以为此目的使用逻辑 or 运算符：//b[@c="23" or @c="17"]。

注意

or 和 | 之间的区别在于，or 连接条件，而 | 连接结果集。

XPath 限制。 这些函数支持的 XPath 语法目前受以下限制

不支持节点集到节点集的比较（例如 '/a/b[@c=@d]'）。
支持所有标准 XPath 比较运算符。（错误 #22823）

相对定位符表达式在根节点的上下文中解析。例如，请考虑以下查询和结果

mysql> SELECT ExtractValue(
    ->   '<a><b c="1">X</b><b c="2">Y</b></a>',
    ->    'a/b'
    -> ) AS result;
+--------+
| result |
+--------+
| X Y    |
+--------+
1 row in set (0.03 sec)

在这种情况下，定位符 a/b 解析为 /a/b。

谓词中也支持相对定位符。在以下示例中，d[../@c="1"] 解析为 /a/b[@c="1"]/d

mysql> SELECT ExtractValue(
    ->      '<a>
    ->        <b c="1"><d>X</d></b>
    ->        <b c="2"><d>X</d></b>
    ->      </a>',
    ->      'a/b/d[../@c="1"]')
    -> AS result;
+--------+
| result |
+--------+
| X      |
+--------+
1 row in set (0.00 sec)

不允许使用以计算结果为标量值的表达式为前缀的定位符，包括变量引用、字面量、数字和标量函数调用，并且它们的使用会导致错误。

不支持将 :: 运算符与以下节点类型组合使用

axis::comment()
axis::text()
axis::processing-instructions()
axis::node()

但是，支持名称测试（例如 axis::name 和 axis::*），如以下示例所示

mysql> SELECT ExtractValue('<a><b>x</b><c>y</c></a>','/a/child::b');
+-------------------------------------------------------+
| ExtractValue('<a><b>x</b><c>y</c></a>','/a/child::b') |
+-------------------------------------------------------+
| x                                                     |
+-------------------------------------------------------+
1 row in set (0.02 sec)

mysql> SELECT ExtractValue('<a><b>x</b><c>y</c></a>','/a/child::*');
+-------------------------------------------------------+
| ExtractValue('<a><b>x</b><c>y</c></a>','/a/child::*') |
+-------------------------------------------------------+
| x y                                                   |
+-------------------------------------------------------+
1 row in set (0.01 sec)

如果路径将导致““高于””根元素，则不支持““上-下””导航。也就是说，您不能使用与给定元素的祖先的后代匹配的表达式，其中当前元素的一个或多个祖先也是根元素的祖先（请参阅错误 #16321）。
不支持以下 XPath 函数，或者存在指示的已知问题
- id()
- lang()
- local-name()
- name()
- namespace-uri()
- normalize-space()
- starts-with()
- string()
- substring-after()
- substring-before()
- translate()
不支持以下轴
- following-sibling
- following
- preceding-sibling
- preceding

作为参数传递给 ExtractValue() 和 UpdateXML() 的 XPath 定位符可以在元素选择器中包含冒号字符 (:)，这使得它们可以与采用 XML 命名空间表示法的标记一起使用。例如

mysql> SET @xml = '<a>111<b:c>222<d>333</d><e:f>444</e:f></b:c></a>';
Query OK, 0 rows affected (0.00 sec)

mysql> SELECT ExtractValue(@xml, '//e:f');
+-----------------------------+
| ExtractValue(@xml, '//e:f') |
+-----------------------------+
| 444                         |
+-----------------------------+
1 row in set (0.00 sec)

mysql> SELECT UpdateXML(@xml, '//b:c', '<g:h>555</g:h>');
+--------------------------------------------+
| UpdateXML(@xml, '//b:c', '<g:h>555</g:h>') |
+--------------------------------------------+
| <a>111<g:h>555</g:h></a>                   |
+--------------------------------------------+
1 row in set (0.00 sec)

这在某些方面类似于 Apache Xalan 和其他一些解析器所允许的操作，并且比要求命名空间声明或使用 namespace-uri() 和 local-name() 函数简单得多。

错误处理。 对于 ExtractValue() 和 UpdateXML()，使用的 XPath 定位符必须有效，并且要搜索的 XML 必须包含正确嵌套和关闭的元素。如果定位符无效，则会生成错误

mysql> SELECT ExtractValue('<a>c</a><b/>', '/&a');
ERROR 1105 (HY000): XPATH syntax error: '&a'

如果 xml_frag 不包含正确嵌套和关闭的元素，则返回 NULL 并生成警告，如本例所示

mysql> SELECT ExtractValue('<a>c</a><b', '//a');
+-----------------------------------+
| ExtractValue('<a>c</a><b', '//a') |
+-----------------------------------+
| NULL                              |
+-----------------------------------+
1 row in set, 1 warning (0.00 sec)

mysql> SHOW WARNINGS\G
*************************** 1. row ***************************
  Level: Warning
   Code: 1525
Message: Incorrect XML value: 'parse error at line 1 pos 11:
         END-OF-INPUT unexpected ('>' wanted)'
1 row in set (0.00 sec)

mysql> SELECT ExtractValue('<a>c</a><b/>', '//a');
+-------------------------------------+
| ExtractValue('<a>c</a><b/>', '//a') |
+-------------------------------------+
| c                                   |
+-------------------------------------+
1 row in set (0.00 sec)

重要

不会检查用作 UpdateXML() 的第三个参数的替换 XML 是否仅包含正确嵌套和关闭的元素。

XPath 注入。 当恶意代码被引入系统以获取对权限和数据的未授权访问时，就会发生代码注入。它是基于开发人员对用户输入的数据类型和内容所做的假设。XPath 也不例外。

可能发生这种情况的一个常见场景是应用程序通过使用如下 XPath 表达式将登录名和密码的组合与 XML 文件中找到的组合进行匹配来处理授权：

//user[login/text()='neapolitan' and password/text()='1c3cr34m']/attribute::id

这等效于如下 SQL 语句的 XPath：

SELECT id FROM users WHERE login='neapolitan' AND password='1c3cr34m';

使用 XPath 的 PHP 应用程序可能会像这样处理登录过程：

<?php

  $file     =   "users.xml";

  $login    =   $POST["login"];
  $password =   $POST["password"];

  $xpath = "//user[login/text()=$login and password/text()=$password]/attribute::id";

  if( file_exists($file) )
  {
    $xml = simplexml_load_file($file);

    if($result = $xml->xpath($xpath))
      echo "You are now logged in as user $result[0].";
    else
      echo "Invalid login name or password.";
  }
  else
    exit("Failed to open $file.");

?>

不对输入执行任何检查。这意味着恶意用户可以通过为登录名和密码输入 ' or 1=1 来““短路””测试，从而导致 $xpath 的计算结果如下所示：

//user[login/text()='' or 1=1 and password/text()='' or 1=1]/attribute::id

由于方括号内的表达式始终计算结果为 true，因此它实际上等效于以下表达式，该表达式匹配 XML 文档中每个 user 元素的 id 属性：

//user/attribute::id

可以规避此特定攻击的一种方法是，简单地在 $xpath 的定义中引用要插入的变量名，强制将从 Web 表单传递的值转换为字符串

$xpath = "//user[login/text()='$login' and password/text()='$password']/attribute::id";

这与通常建议的用于防止 SQL 注入攻击的策略相同。通常，您应该遵循的防止 XPath 注入攻击的做法与防止 SQL 注入的做法相同

永远不要接受来自应用程序中未经测试的用户数据。
检查所有用户提交数据的类型；拒绝或转换类型错误的数据。
测试数值数据是否存在超出范围的值；截断、舍入或拒绝超出范围的值。测试字符串中是否存在非法字符，并将其删除或拒绝包含非法字符的输入。
不要输出可能会向未经授权的用户提供可用于危害系统安全的线索的显式错误消息；而是将这些消息记录到文件或数据库表中。

正如 SQL 注入攻击可用于获取有关数据库模式的信息一样，XPath 注入也可用于遍历 XML 文件以揭示其结构，如 Amit Klein 的论文 Blind XPath Injection（PDF 文件，46KB）中所述。

检查发送回客户端的输出也很重要。考虑一下当我们使用 MySQL ExtractValue() 函数时会发生什么

mysql> SELECT ExtractValue(
    ->     LOAD_FILE('users.xml'),
    ->     '//user[login/text()="" or 1=1 and password/text()="" or 1=1]/attribute::id'
    -> ) AS id;
+-------------------------------+
| id                            |
+-------------------------------+
| 00327 13579 02403 42354 28570 |
+-------------------------------+
1 row in set (0.01 sec)

因为 ExtractValue() 将多个匹配项作为单个空格分隔的字符串返回，所以此注入攻击会将 users.xml 中包含的每个有效 ID 作为单行输出提供给用户。作为额外的安全措施，您还应该在将输出返回给用户之前对其进行测试。以下是一个简单的例子

mysql> SELECT @id = ExtractValue(
    ->     LOAD_FILE('users.xml'),
    ->     '//user[login/text()="" or 1=1 and password/text()="" or 1=1]/attribute::id'
    -> );
Query OK, 0 rows affected (0.00 sec)

mysql> SELECT IF(
    ->     INSTR(@id, ' ') = 0,
    ->     @id,
    ->     'Unable to retrieve user ID')
    -> AS singleID;
+----------------------------+
| singleID                   |
+----------------------------+
| Unable to retrieve user ID |
+----------------------------+
1 row in set (0.00 sec)

通常，安全地向用户返回数据的准则与接受用户输入的准则相同。这些可以概括为

始终测试输出数据的类型和允许值。
切勿允许未经授权的用户查看可能提供有关应用程序信息的错误消息，这些信息可能会被用来利用应用程序。