更新时间:2024-08-20 GMT+08:00

密态支持函数/存储过程

密态支持函数/存储过程,当前版本只支持sql和plpgsql两种语言。 由于密态支持存储过程中创建和执行函数/存储过程对用户是无感知的,因此语法和非密态无区别。

函数/存储过程语法参考《开发指南》中“用户自定义函数”章节和“存储过程”章节。

密态等值查询支持函数存储过程新增系统表gs_encrypted_proc,用于存储参数返回的原始数据类型。

系统表具体字段含义可参考《开发指南》中“系统表和系统视图 > 系统表 > GS_ENCRYPTED_PROC”章节。

创建并执行涉及加密列的函数/存储过程

  1. 创建密钥,详细步骤请参见使用gsql操作密态数据库
  2. 创建加密表。

    1
    2
    3
    4
    5
    6
    gaussdb=# CREATE TABLE creditcard_info (
       id_number int,
       name  text,
       credit_card varchar(19) encrypted with (column_encryption_key = cek1, encryption_type = DETERMINISTIC)
     ) with (orientation=row);
    CREATE TABLE
    

  3. 插入数据。

    1
    2
    3
    4
    gaussdb=# insert into creditcard_info values(1, 'Avi', '1234567890123456');
    INSERT 0 1
    gaussdb=# insert into creditcard_info values(2, 'Eli', '2345678901234567');
    INSERT 0 1
    

  4. 创建函数支持密态等值查询。

    1
    2
    3
    4
    5
    6
    7
    8
    gaussdb=# CREATE FUNCTION f_encrypt_in_sql(val1 text, val2 varchar(19)) RETURNS text AS 'SELECT name from creditcard_info where name=$1 or credit_card=$2 LIMIT 1' LANGUAGE SQL;
    CREATE FUNCTION
    gaussdb=# CREATE FUNCTION f_encrypt_in_plpgsql (val1 text, val2 varchar(19), OUT c text) AS $$
     BEGIN
     SELECT into c name from creditcard_info where name=$1 or credit_card =$2 LIMIT 1;
     END; $$
     LANGUAGE plpgsql;
    CREATE FUNCTION
    

  5. 执行函数。

     1
     2
     3
     4
     5
     6
     7
     8
     9
    10
    11
    gaussdb=# SELECT f_encrypt_in_sql('Avi','1234567890123456');
     f_encrypt_in_sql
    ------------------
     Avi
    (1 row)
    
    gaussdb=# SELECT f_encrypt_in_plpgsql('Avi', val2=>'1234567890123456');
     f_encrypt_in_plpgsql
    ----------------------
     Avi
    (1 row)
    

  • 函数/存储过程中“执行动态查询语句”中的查询在执行过程中编译,因此函数/存储过程中的表名、列名不能在创建阶段未知,输入参数不能用于表名、列名或以任何方式连接。
  • 函数/存储过程中的“执行动态查询语句”不支持EXECUTE 'query'中带有需要加密的数据值。
  • 在RETURNS、IN和OUT的参数中,不支持混合使用加密和非加密类型参数。虽然参数类型都是原始数据类型,但实际类型不同。
  • 在高级包接口中,如dbe_output.print_line()等在服务端打印输出的接口不会做解密操作,由于加密数据类型在强转成明文原始数据类型时会打印出该数据类型的默认值。
  • 当前版本函数/存储过程的LANGUAGE只支持SQL和plpgsql,不支持C和JAVA等其他过程语言。
  • 不支持在函数/存储过程中执行其他查询加密列的函数/存储过程。
  • 当前版本不支持default、DECLARE中为变量赋予默认值,且不支持对DECLARE中的返回值进行解密,用户可以在执行函数时用输入参数、输出参数来代替使用。
  • 不支持gs_dump对涉及加密列的function进行备份。
  • 不支持在函数/存储过程中创建密钥。
  • 该版本密态函数/存储过程不支持触发器
  • 密态等值查询函数/存储过程不支持对plpgsql语言对语法进行转义,对于语法主体带有引号的语法CREATE FUNCTION AS ‘语法主体',可以用CREATE FUNCTION AS $$语法主体$$代替。
  • 不支持在密态等值查询函数/存储过程中执行修改加密列定义的操作,包括对创建加密表,添加加密列,由于执行函数是在服务端,客户端没法判断是否需要刷新缓存,需断开连接后或触发刷新客户端加密列缓存才可以对该列做加密操作。
  • 密态函数/存储过程不支持编译检查。创建密态函数时,不能将behavior_compat_options设置为'allow_procedure_compile_check'。
  • 不支持使用密态数据类型(byteawithoutorderwithequalcol、byteawithoutordercol、_byteawithoutorderwithequalcol、_byteawithoutordercol)创建函数和存储过程。
  • 密态函数若返回值有加密类型,不支持返回不确定的行类型结果,如RETURN [SETOF] RECORD,可以使用返回可确定的行类型结果替代,如RETURN TABLE(columnname typename[,...])。
  • 密态支持函数在创建加密函数时会在系统表gs_encrypted_proc中添加参数对应的加密列的OID,因此删除表后重建同名表可能会使密态函数失效,需要重新创建密态函数。