很多朋友询问如何加密PostgreSQL的存储过程,做了一个简单示例。目前考虑,一种加密方式是使用C语言编译成库文件,缺点是维护起来比较麻烦,优点是速度非常快。另一种是将存储过程以密文存储,使 pg_proc系统表中的 prosrc 不可读,编写起来比较麻烦,好处是一劳永逸。
密文存储过程也可以有两种实现方式,一种是创建函数时将函数转换成密文,这种方式如果不修改内核,无法直接在创建时生成,好在作为开源软件的一大好处,这个我们是可以做到的,本次不对此进行讨论。另一种使用外部程序在创建之前将代码转换成密文,然后正常使用CREATE FUNCTION创建,这个需要做的是创建一个新的过程语言引擎。
EnterpriseDB已经有类似实现: http://www.enterprisedb.com/docs/en/9.0/oracompat/Postgres_Plus_Advanced_Server_Oracle_Compatibility_Guide-195.htm
Oracle的实现: http://docs.oracle.com/cd/B28359_01/appdev.111/b28370/wrap.htm
我的实现是很简陋的,只能算程序可行性证明,如果想用在生产环境,还需要更多增强: 1、加密只是简单的字母调换,只支持ASCII码; 2、密文是一次性转换并保存在内存中,容易通过其它方式读出来。如果改成流加密,一边解密一边编译,把编译过的部分清掉,还能提高安全性; 3、报错信息没有修改,如果有编译错误,报错时会把一些源代码带出来; 4、只能加密函数体部分,全部转换需要修改内核语法解析部分(就像EDB所做的); 5、没有准备Windows平台,只有Linux;
源代码代码下载链接: http://url.cn/M1ka7U 由前几天的git分支改写,包含PL/pgSQL源代码目录用来做比较。
1、pl_wrap srcfile [outfile] srcfile里只包含函数体部分,输出加密后的密文 2、创建存储过程语言模板 INSERT INTO pg_pltemplate values('plpgwrappedsql',true, 'plpgwrappedsql_call_handler',null,'plpgwrappedsql_validator','$libdir/plpgwrappedsql',null); 3、创建过程语言 CREATE LANGUAGEplpgwrappedsql; 4、创建函数 CREATE FUNCTION func_name() RETURNS type AS $$ <<密文过程>> $$ LANGUAGEplpgwrappedsql; (编辑:李大同)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|