密态支持函数/存储过程
密态支持函数/存储过程当前版本只支持sql 和PL/pgsql 两种语言。由于密态支持存储
过程中创建和执行函数/存储过程对用户是无感知的,因此语法和非密态无区别。
密态等值查询支持函数存储过程新增系统表gs_encrypted_proc,
用于存储参数返回的原
始数据类型。
创建并执行涉及加密列的函数/存储过程
步骤1 创建密钥,
详细步骤请参考7.4.2 使用gsql 操作密态数据库和7.4.3 使用JDBC 操作
密态数据库。
步骤2 创建加密表。
postgres=# CREATE TABLE creditcard_info (
gbase(# id_number int,
gbase(# name text,
GBase 8c V5 开发者手册
南大通用数据技术股份有限公司
205
gbase(# credit_card varchar(19) encrypted with (column_encryption_key = ImgCEK1,
encryption_type = DETERMINISTIC)
gbase(# ) with (orientation=row);
CREATE TABLE
步骤3 插入数据。
postgres=# insert into creditcard_info values(1, 'Avi', '1234567890123456');
INSERT 0 1
postgres=# insert into creditcard_info values(2, 'Eli', '2345678901234567');
INSERT 0 1
步骤4 创建函数支持密态等值查询。
postgres=# CREATE FUNCTION f_encrypt_in_sql(val1 text, val2 varchar(19)) RETURNS
text AS 'SELECT name from creditcard_info where name=$1 or credit_card=$2 LIMIT 1'
LANGUAGE SQL; CREATE FUNCTION
postgres=# CREATE FUNCTION f_encrypt_in_plpgsql (val1 text, val2 varchar(19))
gbase-# RETURNS text AS $$
gbase$# DECLARE
gbase$# c text;
gbase$# BEGIN
gbase$# SELECT into c name from creditcard_info where name=$1 or credit_card =$2 LIMIT
1;
gbase$# RETURN c;
gbase$# END; $$
gbase-# LANGUAGE plpgsql;
CREATE FUNCTION
步骤5 执行函数。
postgres=# SELECT f_encrypt_in_sql('Avi','1234567890123456');
f_encrypt_in_sql
------------------
Avi
(1 row)
postgres=# SELECT f_encrypt_in_plpgsql('Avi', val2=>'1234567890123456');
f_encrypt_in_plpgsql
----------------------
Avi
(1 row)
----结束
函数/存储过程中的“执行动态查询语句”中的查询是在执行过程中编译,因此函数/存储
GBase 8c V5 开发者手册
南大通用数据技术股份有限公司
206
过程中的表名、列名不能在创建阶段未知,输入参数不能用于表名、
列名或以任何方式
连接。
在RETURNS、IN 和OUT 的参数中,不支持混合使用加密和非加密类型参数。虽然参
数类型都是原始数据类型,但实际类型不同。
当前版本函数/存储过程的LANGUAGE 只支持SQL 和PL/pgSQL,不支持C 和JAVA
等其他过程语言。
不支持在函数/存储过程中执行其他查询加密列的函数/存储过程。
当前版本不支持default、
DECLARE 中为变量赋予默认值,
且不支持对DECLARE 中的
返回值进行解密,用户可以用执行函数时用输入参数,输出参数来代替使用。
不支持gs_dump 对涉及加密列的function 进行备份。
不支持在函数/存储过程中创建密钥。
该版本密态函数/存储过程不支持触发器
密态等值查询函数/存储过程不支持对plpgsql 语言对语法进行转义,
对于语法主体带有
引号的语法CREATE FUNCTION AS ‘语法主体',可以用CREATE FUNCTION AS $$语
法主体$$代替。
不支持在密态等值查询函数/存储过程中执行修改加密列定义的操作,包括对创建加密
表,添
加加密列,由于执行函数是在服务端,客户端没法判断是否是需要刷新缓存,
得断开连接后或触发刷新客户端加密列缓存才可以对该列做加密操作。