AI 助理
备案控制台
开发者社区 传说中的德哥 文章 正文

【DB吐槽大会】第52期 - PG 函数内容不支持加密

2021-10-10 152
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 大家好,这里是DB吐槽大会,第52期 - PG 函数内容不支持加密

背景

1、产品的问题点

  • PG 函数内容不支持加密

2、问题点背后涉及的技术原理

  • PG 可以写函数支持较为复杂的业务逻辑, 或者讲逻辑写入函数从而减少客户端与数据库的交互.
  • 但是PG的函数内容不支持加密功能. 任何用户都可
postgres=# \du  
                                        List of roles  
 Role name |                         Attributes                         |      Member of        
-----------+------------------------------------------------------------+---------------------  
 abc       | Cannot login                                               | {}  
 d         | Cannot login                                               | {}  
 postgres  | Superuser, Create role, Create DB, Replication, Bypass RLS | {}  
 ro        |                                                            | {pg_read_all_data}  
 rw        |                                                            | {pg_write_all_data}  
postgres=# alter role abc login;  
ALTER ROLE  
postgres=# create or replace function hello(int) returns void as $$  
postgres$# declare  
postgres$# begin  
postgres$#   perform 1 from pg_class;  
postgres$#   perform $1+$1;  
postgres$# end;  
postgres$# $$ language plpgsql strict;  
CREATE FUNCTION  
postgres=# select hello(1);  
 hello   
-------  
(1 row)  
postgres=# \c postgres abc  
You are now connected to database "postgres" as user "abc".  
postgres=> select * from pg_proc where proname='hello';  
-[ RECORD 1 ]---+---------------------------  
oid             | 376507  
proname         | hello  
pronamespace    | 354435  
proowner        | 10  
prolang         | 14228  
procost         | 100  
prorows         | 0  
provariadic     | 0  
prosupport      | -  
prokind         | f  
prosecdef       | f  
proleakproof    | f  
proisstrict     | t  
proretset       | f  
provolatile     | v  
proparallel     | u  
pronargs        | 1  
pronargdefaults | 0  
prorettype      | 2278  
proargtypes     | 23  
proallargtypes  |   
proargmodes     |   
proargnames     |   
proargdefaults  |   
protrftypes     |   
prosrc          |                           +  
                | declare                   +  
                | begin                     +  
                |   perform 1 from pg_class;+  
                |   perform $1+$1;          +  
                | end;                      +  
                |   
probin          |   
prosqlbody      |   
proconfig       |   
proacl          |

3、这个问题将影响哪些行业以及业务场景

  • 通用

4、会导致什么问题?

  • 存在一定的安全风险, 任何用户都可以查询数据库中其他用户定义的函数内容

5、业务上应该如何避免这个坑

  • 回收pg_proc系统表权限. revoke select on pg_proc from public;
  • 回收pg_catalog.pg_get_functiondef函数权限. revoke execute on function pg_catalog.pg_get_functiondef from public;

6、业务上避免这个坑牺牲了什么, 会引入什么新的问题

  • 导致所有的函数定义都无法查询, 包括自己定义的.

7、数据库未来产品迭代如何修复这个坑

  • 内核层支持: 普通用户只能查询自己定义的函数或存储过程内容.
  • 内核层支持: 函数内容加密功能, 用户只能查看加密后的内容, 提高安全性. 加密密钥由启动数据库的操作系统用户或者通过文件形式读取输入, 权限可以与数据库用户区别开来.
文章标签:
密钥管理服务
关系型数据库
数据安全/隐私保护
安全
数据库
存储
关键词:
密钥管理服务函数
pg密钥管理服务
db密钥管理服务
密钥管理服务db
传说中的德哥
目录
相关文章
爱你三千遍斯塔克
|
4月前
|
算法 安全 数据安全/隐私保护
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
爱你三千遍斯塔克
52 0
贵哥的编程之路(热爱分享)
|
6月前
|
PHP 数据安全/隐私保护
php案例:加密函数
php案例:加密函数
贵哥的编程之路(热爱分享)
48 0
php案例:加密函数
qiuqiushuibx
|
6月前
|
SQL 存储 关系型数据库
MySQL 时间日期函数,流程控制函数,加密解密函数以及聚合查询函数
MySQL 时间日期函数,流程控制函数,加密解密函数以及聚合查询函数
qiuqiushuibx
66 0
小周sir
|
6月前
|
存储 数据库连接 Nacos
在Nacos中,db怎么加密?
在Nacos中,db怎么加密?
小周sir
266 1
王同学睡醒了
|
11月前
|
关系型数据库 MySQL 数据安全/隐私保护
零基础带你学习MySQL—加密函数和系统函数(十六)
零基础带你学习MySQL—加密函数和系统函数(十六)
王同学睡醒了
45 0
漏刻有时
|
存储 算法 前端开发
php动态密码和加密解密函数的使用(动态密码、Discuz核心函数AuthCode、任意输入密码验证)
php动态密码和加密解密函数的使用(动态密码、Discuz核心函数AuthCode、任意输入密码验证)
漏刻有时
237 0
php动态密码和加密解密函数的使用(动态密码、Discuz核心函数AuthCode、任意输入密码验证)
萤火虫的小尾巴
|
SQL 运维 安全
[MySQL]流程控制函数&加密与解密函数&MySQL信息函数&其他函数
[MySQL]流程控制函数&加密与解密函数&MySQL信息函数&其他函数
萤火虫的小尾巴
119 0
q4qlc6vqsegx4
|
SQL 运维 安全
加密解密,MySQL单行函数,数学函数字符串日期时间,流程控制,完整详细可收藏查询SQL
加密解密,MySQL单行函数,数学函数字符串日期时间,流程控制,完整详细可收藏查询SQL
q4qlc6vqsegx4
149 1
加密解密,MySQL单行函数,数学函数字符串日期时间,流程控制,完整详细可收藏查询SQL
仅此而已bo
|
SQL 数据安全/隐私保护
Sql Server内置函数实现MD5加密
Sql Server内置函数实现MD5加密
仅此而已bo
416 0
xaubllxwtvaqiu
|
存储 算法 关系型数据库
【笔记】开发指南—函数—加密和压缩函数
本文主要介绍PolarDB-X支持的加密和压缩函数。
xaubllxwtvaqiu
166 0

传说中的德哥

热门文章

最新文章

  • 1
    用户密码以BCrypt加密的方式来防范被破解
  • 2
    阿里云虚拟主机HTTPS(HTTP+SSL)加密开通了
  • 3
    给硬盘加密
  • 4
    C#中cookie读写加密中文字符
  • 5
    【译】使用 PHP 和 SQL 构建可搜索的加密数据库
  • 6
    PHP 下的SSL加密设置
  • 7
    以DH的方式实现非对称加密
  • 8
    【PHP】android、ios、php之间AES加密解密
  • 9
    某壳对.Net程序加密的原理及解密探讨五(元数据还原以及IL解码的改进)
  • 10
    近年最佳加密软件:免费、付费、商业工具与服务
  • 1
    des加密+base64编码,base64解码+des解密
    118
  • 2
    aes加密在linux下会生成随机key的解决办法
    69
  • 3
    探究网络安全漏洞与加密技术:保护信息安全的关键
    38
  • 4
    Flutter加固原理及加密处理
    102
  • 5
    oss数据加密与存储
    202
  • 6
    nacos常见问题之密码加密配置如何解决
    1404
  • 7
    nacos常见问题之连接用户名和密码把明文用户名和密码进行加密如何解决
    1310
  • 8
    一文带你了解多文件混淆加密
    105
  • 9
    提升 Java 编程安全性 - 代码加密混淆工具的重要性和应用
    185
  • 10
    OSS完全托管加密
    65

    • 相关课程

    更多
  • Analytic DB MySql产品介绍

    • 相关电子书

    更多
  • 基于可信计算与加密计算 打造云上原生计算安全
  • \"视频服务特色解决方案——直播连麦与点播加密 \"
  • 量子加密通信技术

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • PolarDB NL2SQL:自然语言驱动的数据智能
  • RSA非对称加密算法
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月