Oracle的存储过程加密

    Oracle的存储过程加密，顾名思义，就是对Oracle存储过程源码的加密，使得别人看不到你的源码，达到保护的目的，当然不是什么都是需要的，有的项目对安全性要求比较高的时候，就可能会用到，好了，废话不多说了，开始这部分的旅程吧。

    首先，Oracle提供了加密方式，--Wrap和DBMS_DDL，当然这两种不光是是对存储过程加密的，函数，包体，类型等都是可以加密的，在此只对存储过程的加密进行解释。

 

Wrap方式加密

1.用法：

        他的用法还是比较简单的，一个命令就可以实现加密，以下是命令的格式

wrap iname=input_file [ oname=output_file ]

以下两种方式是等价的，我的理解是你指定的文件中只要是SQL的statement就可以了，他会默认给一个sql的后缀

wrap iname=/mydir/myfile
wrap iname=/mydir/myfile.sql

其实这样写也是可以的，其实他只是加密一个SQL文件的，我们加密的确实存储过程，只是后缀不一样

wrap iname=/mydir/myfile.src

再看下他的输出。以下两种情况也是等价的。及时你不会指定输出文件是什么，他也会给你指定一个输出的文件，当然你也可以自己指定的，第二行就是和系统默认的指定的一样的。

wrap iname=/mydir/myfile
wrap iname=/mydir/myfile.sql oname=/mydir/myfile.plb

这样写也是可以的，他默认输出的是源文件的名称加上plb的后缀，如果你要执行输出的后缀名的话，也可以这样写，我理解是后缀由你指定的，当然只要加密之后的文件能被Oracle正确解析就好了

wrap iname=/mydir/myfile oname=/yourdir/yourfile.out

notes：如果你拿一个已经加密过的sql文件，再次去用命令加密的话，得到的文件实际上和原来的是一样的，可以尝试下。

 

Wrap的限制：

        1.此方法对加密类似密码的东西，不是很安全。

        2.加密后的文件对于一般人来说，是比较安全的，但是对于专业人士来说，也是形同虚设的。

        3.不能加密触发器。

        4.加密的过程中，是不会检查你的语法错误的，只是在编译的时候会检查。

        5.他是向上兼容的，依赖于Oracle的版本，比如是8.1.5的加密文件，可以在8.1.6的版本上跑，但是

         8.1.6版本的Oracle加密文件，在8.1.5上不一定能跑。

        6.只能加密如下类型，不能加密匿名块

CREATE [OR REPLACE] FUNCTION function_name
CREATE [OR REPLACE] PROCEDURE procedure_name
CREATE [OR REPLACE] PACKAGE package_name
CREATE [OR REPLACE] PACKAGE BODY package_name
CREATE [OR REPLACE] TYPE type_name AS OBJECT
CREATE [OR REPLACE] TYPE type_name UNDER type_name
CREATE [OR REPLACE] TYPE BODY type_name

Wrap的操作步骤：

    不管是在Linux下还是Oracle下，首先保证你能sqlplus的命令能正常运行，即：你的Oracle环境必须装好的，这个时候才可以使用。

Windows下你可以直接打开命令窗口，按照以上格式的输入即可。

wrap iname=wrap_test.sql

输入命令之后

PL/SQL Wrapper: Release 10.2.0.0.0 on Tue Apr 26 16:47:39 2005
Copyright (c) 1993, 2005, Oracle.  All rights reserved.
Processing wrap_test.sql to wrap_test.plb

如下图，我没有指定输出的文件名，这个时候他就会在我当前的目录下创建一个pro1.plb的文件。

 

打开之后可以看到：

 

 

用Plsql执行加密后的文件

 

SQL> @wrapped_file_name.plb;

 

打开之后就是加密后的，这个时候你只能看到存储过程名称

 

需要注意的是：当你的原始文件中含有注释的话，如果注释是以"--"开头的，也就是行注释，他在加密的时候会删除掉，如果是"/**/"类似C语言的注释的话，不会删除。

 

Notes：插入的时候是被PLSQL解析的，所以不能插入sqlplus的声明，

 

DBMS_DDL Subprograms方式加密

DBMS_DDL包含了加密存储过程，函数，类型说明，类型体，包说明，包体，此子程序提供了动态生成PLSQL单元的能力。其实内部就是一个WRAP函数和一个CREATE_WRAPPED存储过程。再加上一个异常处理的单元MALFORMED_WRAP_INPUT。

 

下面直接给个例子吧

 

DECLARE
  package_text VARCHAR2(32767); -- text for creating package spec & body

  FUNCTION generate_spec (pkgname VARCHAR2) RETURN VARCHAR2 AS
  BEGIN
    RETURN 'CREATE PACKAGE ' || pkgname || ' AS
      PROCEDURE raise_salary (emp_id NUMBER, amount NUMBER);
      PROCEDURE fire_employee (emp_id NUMBER);
      END ' || pkgname || ';';
  END generate_spec;

  FUNCTION generate_body (pkgname VARCHAR2) RETURN VARCHAR2 AS
  BEGIN
    RETURN 'CREATE PACKAGE BODY ' || pkgname || ' AS
      PROCEDURE raise_salary (emp_id NUMBER, amount NUMBER) IS
      BEGIN
        UPDATE employees
          SET salary = salary + amount WHERE employee_id = emp_id;
      END raise_salary;
      PROCEDURE fire_employee (emp_id NUMBER) IS
      BEGIN
        DELETE FROM employees WHERE employee_id = emp_id;
      END fire_employee;
    END ' || pkgname || ';';
  END generate_body;

BEGIN
  -- Generate package spec
  package_text := generate_spec('emp_actions')

  -- Create wrapped package spec
  DBMS_DDL.CREATE_WRAPPED(package_text);

  -- Generate package body
  package_text := generate_body('emp_actions');

  -- Create wrapped package body
  DBMS_DDL.CREATE_WRAPPED(package_text);
END;
/

-- Invoke procedure from wrapped package
CALL emp_actions.raise_salary(120, 100);

 

当然调用DBMS_DDL.CREATE_WRAPPED的时候必须保证你的本地没有生命这样的存储过程，或者你在调用的时候要加上SYS.DBMS_DDL.WRAP or SYS.DBMS_DDL.CREATE_WRAPPED,这个时候就得有执行这两个存储过程的权限了。

 

加密完成之后，查询结果

SELECT text FROM USER_SOURCE WHERE name = 'EMP_ACTIONS';

 

TEXT
--------------------------------------------------------------------
PACKAGE emp_actions WRAPPED
a000000
1f
abcd
...

 

这样就成功加密了想要加密的东西。

 

DBMS_DDL Subprograms限制：

值得注意的是当你调用DBMS_SQL.PARSE这个函数去解析DBMS_DDL.WRAP这个加密的结果的时候，传入的文本超多了32767 bytes，你就必须设置LFFLG为FALSE，否则DBMS_SQL.PARSE这个解析的结果将是混乱的。

 

好了到此为止，我们的整个旅程就将结束了，东西说的不是很深，并且只是涉及到存储过程的加密，当然了，以此类推，如果你会了存储过程的加密方式，你也就会其他的加密了，知道这些已经够用了，毕竟不是每个项目都能用到此知识点。写的比较乱，主要是我防止日后再用到，能快速查出，备忘而已。