由于原有sqlite3没有加密功能,如果库文件暴露出去,就可以直接查看,所以这里就实现了sqlite3数据库加密功能。
这里使用sqlcipher工具实现该加密功能,是对库文件加密而非是对具体数据加密
首先是源码的下载
下载地址:https://github.com/sqlcipher/sqlcipher
这里还依赖于openssl进行加密,所以要下载该源码包
之后对源码进行编译:
1.编译
1.openssl编译
./config
make
2.sqlcipher编译
首先是./configure进行配置./configure –enable-tempstore=yes CFLAGS=”-DsqlITE_HAS_CODEC” LDFLAGS=”-lcrypto” –prefix=$PWD/install,之后进行make这样就编译完成,编译完成后生成了可执行文件sqlcipher,以及库文件,可执行文件可以供我们像shelle那样进行操作,库文件提供了C接口可以供我们在程序中连接引用之中的接口。
2.由sqlite3的非加密文件生成加密文件
如何用shell命令将一个非加密文件生成加密文件,比如我们有非加密库文件film.db,依据这个文件生成加密文件filmen.db
1.首先将非加密文件film.db的数据库导出来到output.sql中,可以用如下的shell语句实现:
sqlite3 film.db “.dump” > output.sql或是
sqlite3 film.db “.output output.sql” “.dump”
2.读取之前导出的数据库文件output.sql到加密库文件filmen.db,可用如下shell语句实现:
./sqlcipher filmen.db “PRAGMA key=’key’” “.read out.sql”
这样就实现了依据未加密库文件film.db生成加密的库文件filmen.db,密码是key。
“PRAGMA key=’key’”就是如果是创建新的库文件就是设置密码,如果是打开已有的库文件,即就是进行鉴权,我们还可以使用rekey进行密码重新设备,具体说明见:
https://www.zetetic.net/sqlcipher/sqlcipher-api/ 详细介绍了sqlcipher新增的API
3.由sqlcipher的加密与非加密文件转换
假设我们由sqlcipher生成了加密文件encrypt.db,将之转换为非加密文件plaintext.db,我们可以使用hexdump查看该文件是非加密的
$ ./sqlcipher encrypted.db
sqlite> PRAGMA key = ‘key’;
sqlite> ATTACH DATABASE ‘plaintext.db’ AS plaintext KEY ”;
sqlite> SELECT sqlcipher_export(‘plaintext’);
sqlite> DETACH DATABASE plaintext;
密码为空也就是对该库文件不进行加密
由非加密库文件plaintext.db生成encrypted.db
$ ./sqlcipher plaintext.db
sqlite> ATTACH DATABASE ‘encrypted.db’ AS encrypted KEY ‘testkey’;
sqlite> SELECT sqlcipher_export(‘encrypted’);
sqlite> DETACH DATABASE encrypted;
我们注意到这里并未输入PRAGMA key来对库文件进行鉴权
注意:虽然这里的plaintext.db用sqlcipher打开时无需进行鉴权,但是该文件如果用sqlite3打开的话还是会打开失败,我之前以为由sqlcipher生产的未加密的库文件等价于sqlite3的库文件,实践证明并非如此
4.C代码接口
之前编译出了sqlcipher的库文件libsqlcipher.so,如果我们想要引用这些C接口只需链接这些库即可,然后使用
sqlite3_open打开库文件
sqlite3_key进行鉴权
sqlite3_exec执行自己的sql语句
sqlite3_close关闭数据库
以上可以看出,其实这些和sqlite3原有的接口是十分类似的,这里就是多了一步鉴权,每次重新打开库文件的时候都要进行鉴权,后面就可以正常的对库文件进行增删改查操作了。
当将非加密的库文件转换成加密的库文件之后,用可视化的数据库工具就会打开库文件失败,网上说应该是可以sqlcipher编译成windows版本的话就可以打开加密文件了,或者可以将加密库文件导出后重新生成非加密文件也可以。还有就是如果版本有差异的话也可能会导致打开文件失败。