@H_502_0@ 很多朋友询问如何加密Postgresql的存储过程，做了一个简单示例。目前考虑，一种加密方式是使用C语言编译成库文件，缺点是维护起来比较麻烦，优点是速度非常快。另一种是将存储过程以密文存储，使 pg_proc系统表中的 prosrc 不可读，编写起来比较麻烦，好处是一劳永逸。

@H_502_0@ 密文存储过程也可以有两种实现方式，一种是创建函数时将函数转换成密文，这种方式如果不修改内核，无法直接在创建时生成，好在作为开源软件的一大好处，这个我们是可以做到的，本次不对此进行讨论。另一种使用外部程序在创建之前将代码转换成密文，然后正常使用CREATE FUNCTION创建，这个需要做的是创建一个新的过程语言引擎。

@H_502_0@ EnterpriseDB已经有类似实现：@H_502_11@ http://www.enterprisedb.com/docs/en/9.0/oracompat/Postgres_Plus_Advanced_Server_Oracle_Compatibility_Guide-195.htm

@H_502_0@ Oracle的实现：@H_502_11@ http://docs.oracle.com/cd/B28359_01/appdev.111/b28370/wrap.htm

@H_502_0@ 我的实现是很简陋的，只能算程序可行性证明，如果想用在生产环境，还需要更多增强：@H_502_11@ 1、加密只是简单的字母调换，只支持ASCII码；@H_502_11@ 2、密文是一次性转换并保存在内存中，容易通过其它方式读出来。如果改成流加密，一边解密一边编译，把编译过的部分清掉，还能提高安全性；@H_502_11@ 3、报错信息没有修改，如果有编译错误，报错时会把一些源代码带出来；@H_502_11@ 4、只能加密函数体部分，全部转换需要修改内核语法解析部分（就像EDB所做的）；@H_502_11@ 5、没有准备Windows平台，只有Linux；

@H_502_0@ 源代码代码下载链接：@H_502_11@ http://url.cn/M1ka7U@H_502_11@ 由前几天的git分支改写，包含PL/pgsql源代码目录用来做比较。@H_502_11@

@H_502_0@ 1、pl_wrap srcfile [outfile]@H_502_11@ srcfile里只包含函数体部分，输出加密后的密文@H_502_11@ 2、创建存储过程语言模板@H_502_11@ INSERT INTO pg_pltemplate values('plpgwrappedsql',true,@H_502_11@ 'plpgwrappedsql_call_handler',null,'plpgwrappedsql_validator','$libdir/plpgwrappedsql',null);@H_502_11@ 3、创建过程语言@H_502_11@ CREATE LANGUAGEplpgwrappedsql;@H_502_11@ 4、创建函数@H_502_11@ CREATE FUNCTION func_name() RETURNS type AS@H_502_11@ $$@H_502_11@ <<密文过程>>@H_502_11@ $$@H_502_11@ LANGUAGEplpgwrappedsql;