您的当前位置:首页正文

PostgreSQL:如何隐藏存储过程

2024-11-07 来源:个人技术集锦
POSTGRESQL(以下简称PG)是功能强大的开源数据库,在*NUX下表现出色,性能不逊于ORACLE。更主要的是它提供源代码,而且可进行自行修改,用于商业目的。

PG的存储过程统一以函数形式存在,调用的时候用SELECT FUNCTION_NAME(ARG...) 或 SELECT OUT_ARG FROM FUNCTION_NAME(IN_ARG...)形式,而不是用CALL语句。PG的函数有各种接口,如C,SQL,PLPGSQL、PLJAVA等,其中PLPGSQL功能最强,应用最广泛。

PG的系统表PG_CATALOG.PG_PROC存储着所有函数(包括内置函数)的各种定义,其中PLPGSQL的函数体是以源代码的形式存在,并对任何用户可读。因为PG对FUNCTION的GRANT权限只有EXCUTE项,没有SELECT项,所以任何最低权限的用户都可读到PLPGSQL函数的源代码,即使它没有执行权限。这导致业务流程的泄露。

若要阻止未经授权的用户偷窥函数代码,必须取消PG_CATALOG.PG_PROC系统表的全可读权限,改为某个角色可读,注意可读权限和可执行权限是不相关的。

请用PG的超级权限(默认为POSTGRES)进入:

 REVOKE ALL  ON pg_catalog.pg_proc   FROM  PUBLIC

GRANT SELECT ON pg_catalog.pg_proc  TO  XXX    -- XXX为可读的角色

这将阻止未经授权的用户偷窥函数代码,但超级用户和授权用户还是可以看到的。假如你是业务系统的设计商,不想让客户看到你所设计的函数代码,那只有加密了,那PG又是如何解密的呢?只能通过修改数据库源代码,重新定制数据库才能解决,

 
显示全文