密态支持函数/存储过程

密态支持函数/存储过程当前版本只支持sql和PL/pgSQL两种语言。由于密态支持存储过程中创建和执行函数/存储过程对用户是无感知的,因此语法和非密态无区别。

密态等值查询支持函数存储过程新增系统表gs_encrypted_proc,用于存储参数返回的原始数据类型。

创建并执行涉及加密列的函数/存储过程

  1. 创建密钥,详细步骤请参考使用gsql操作密态数据库使用JDBC操作密态数据库

  2. 创建加密表。

    1. openGauss=# CREATE TABLE creditcard_info (
    2. openGauss(# id_number int,
    3. openGauss(# name text,
    4. openGauss(# credit_card varchar(19) encrypted with (column_encryption_key = ImgCEK1, encryption_type = DETERMINISTIC)
    5. openGauss(# ) with (orientation=row);
    6. CREATE TABLE
  3. 插入数据。

    1. openGauss=# insert into creditcard_info values(1, 'Avi', '1234567890123456');
    2. INSERT 0 1
    3. openGauss=# insert into creditcard_info values(2, 'Eli', '2345678901234567');
    4. INSERT 0 1
  4. 创建函数支持密态等值查询。

    1. openGauss=# CREATE FUNCTION f_encrypt_in_sql(val1 text, val2 varchar(19)) RETURNS text AS 'SELECT name from creditcard_info where name=$1 or credit_card=$2 LIMIT 1' LANGUAGE SQL;
    2. CREATE FUNCTION
    3. openGauss=# CREATE FUNCTION f_encrypt_in_plpgsql (val1 text, val2 varchar(19), OUT c text) AS $$
    4. openGauss$# BEGIN
    5. openGauss$# SELECT into c name from creditcard_info where name=$1 or credit_card =$2 LIMIT 1;
    6. openGauss$# END; $$
    7. openGauss-# LANGUAGE plpgsql;
    8. CREATE FUNCTION
  5. 执行函数。

    1. openGauss=# SELECT f_encrypt_in_sql('Avi','1234567890123456');
    2. f_encrypt_in_sql
    3. ------------------
    4. Avi
    5. (1 row)
    6. openGauss=# SELECT f_encrypt_in_plpgsql('Avi', val2=>'1234567890123456');
    7. f_encrypt_in_plpgsql
    8. ----------------------
    9. Avi
    10. (1 row)

密态支持函数/存储过程 - 图1 说明:

  • 函数/存储过程中的“执行动态查询语句”中的查询是在执行过程中编译,因此函数/存储过程中的表名、列名不能在创建阶段未知,输入参数不能用于表名、列名或以任何方式连接。

  • 在RETURNS、IN和OUT的参数中,不支持混合使用加密和非加密类型参数。虽然参数类型都是原始数据类型,但实际类型不同。

  • 对高级包接口中,如dbe_output.print_line()等在服务端打印输出的接口不会做解密操作,加密数据类型在强转成明文原始数据类型时会打印出该数据类型的默认值。

  • 当前版本函数/存储过程的LANGUAGE只支持SQL和PL/pgSQL,不支持C和JAVA等其他过程语言。

  • 不支持在函数/存储过程中执行其他查询加密列的函数/存储过程。

  • 当前版本不支持default、DECLARE中为变量赋予默认值,且不支持对DECLARE中的返回值进行解密,用户可以用执行函数时用输入参数、输出参数来代替使用。

  • 不支持gs_dump对涉及加密列的function进行备份。

  • 不支持在函数/存储过程中创建密钥。

  • 该版本密态函数/存储过程不支持触发器。

  • 密态等值查询函数/存储过程不支持对PL/pgSQL语言对语法进行转义,对于语法主体带有引号的语法CREATE FUNCTION AS ‘语法主体’, 可以用CREATE FUNCTION AS ‘语法主体’ 代替。

  • 不支持在密态等值查询函数/存储过程中执行修改加密列定义的操作,包括创建加密表、添加加密列,由于执行函数是在服务端,客户端没法判断是否是需要刷新缓存,得断开连接后或触发刷新客户端加密列缓存才可以对该列做加密操作。

  • 密态支持函数在创建加密函数时会在系统表gs_encrypted_proc中添加参数对应的加密列的oid,因此删除表后重建同名表可能会使密态函数失效,需要重新创建密态函数。