Oracle的存储过程加密

Oracle的存储过程加密，顾名思义，就是对Oracle存储过程源码的加密，使得别人看不到你的源码，达到保护的目的，当然不是什么都是需要的，有的项目对安全性要求比较高的时候，就可能会用到，好了，废话不多说了，开始这部分的旅程吧。

首先，Oracle提供了加密方式，--Wrap和DBMS_DDL，当然这两种不光是是对存储过程加密的，函数，包体，类型等都是可以加密的，在此只对存储过程的加密进行解释。

Wrap方式加密

1.用法：

他的用法还是比较简单的，一个命令就可以实现加密，以下是命令的格式

wrap iname=input_file [ oname=output_file ]

以下两种方式是等价的，我的理解是你指定的文件中只要是SQL的statement就可以了，他会默认给一个sql的后缀

wrap iname=/mydir/myfile

wrap iname=/mydir/myfile.sql

其实这样写也是可以的，其实他只是加密一个SQL文件的，我们加密的确实存储过程，只是后缀不一样

wrap iname=/mydir/myfile.src

再看下他的输出。以下两种情况也是等价的。及时你不会指定输出文件是什么，他也会给你指定一个输出的文件，当然你也可以自己指定的，第二行就是和系统默认的指定的一样的。

wrap iname=/mydir/myfile

wrap iname=/mydir/myfile.sql oname=/mydir/myfile.plb

这样写也是可以的，他默认输出的是源文件的名称加上plb的后缀，如果你要执行输出的后缀名的话，也可以这样写，我理解是后缀由你指定的，当然只要加密之后的文件能被Oracle正确解析就好了

wrap iname=/mydir/myfile oname=/yourdir/yourfile.out

notes：如果你拿一个已经加密过的sql文件，再次去用命令加密的话，得到的文件实际上和原来的是一样的，可以尝试下。

Wrap的限制：

1.此方法对加密类似密码的东西，不是很安全。

2.加密后的文件对于一般人来说，是比较安全的，但是对于专业人士来说，也是形同虚设的。

3.不能加密触发器。

4.加密的过程中，是不会检查你的语法错误的，只是在编译的时候会检查。

5.他是向上兼容的，依赖于Oracle的版本，比如是8.1.5的加密文件，可以在8.1.6的版本上跑，但是

8.1.6版本的Oracle加密文件，在8.1.5上不一定能跑。

6.只能加密如下类型，不能加密匿名块

CREATE [OR REPLACE] FUNCTION function_name

CREATE [OR REPLACE] PROCEDURE procedure_name

CREATE [OR REPLACE] PACKAGE package_name

CREATE [OR REPLACE] PACKAGE BODY package_name

CREATE [OR REPLACE] TYPE type_name AS OBJECT

CREATE [OR REPLACE] TYPE type_name UNDER type_name

CREATE [OR REPLACE] TYPE BODY type_name

Wrap的操作步骤：

不管是在Linux下还是Oracle下，首先保证你能sqlplus的命令能正常运行，即：你的Oracle环境必须装好的，这个时候才可以使用。

Windows下你可以直接打开命令窗口，按照以上格式的输入即可。

wrap iname=wrap_test.sql

输入命令之后

PL/SQL Wrapper: Release 10.2.0.0.0 on Tue Apr 26 16:47:39 2005

Processing wrap_test.sql to wrap_test.plb

如下图，我没有指定输出的文件名，这个时候他就会在我当前的目录下创建一个pro1.plb的文件。

打开之后可以看到：

用Plsql执行加密后的文件

SQL> @wrapped_file_name.plb;

打开之后就是加密后的，这个时候你只能看到存储过程名称

需要注意的是：当你的原始文件中含有注释的话，如果注释是以"--"开头的，也就是行注释，他在加密的时候会删除掉，如果是"/**/"类似C语言的注释的话，不会删除。

Notes：插入的时候是被PLSQL解析的，所以不能插入sqlplus的声明，

DBMS_DDL Subprograms方式加密

DBMS_DDL包含了加密存储过程，函数，类型说明，类型体，包说明，包体，此子程序提供了动态生成PLSQL单元的能力。其实内部就是一个WRAP函数和一个CREATE_WRAPPED存储过程。再加上一个异常处理的单元MALFORMED_WRAP_INPUT。

下面直接给个例子吧

DECLARE

package_text VARCHAR2(32767); -- text for creating package spec & body

FUNCTION generate_spec (pkgname VARCHAR2) RETURN VARCHAR2 AS

BEGIN

RETURN 'CREATE PACKAGE ' || pkgname || ' AS

PROCEDURE raise_salary (emp_id NUMBER, amount NUMBER);

PROCEDURE fire_employee (emp_id NUMBER);

END ' || pkgname || ';';

END generate_spec;

FUNCTION generate_body (pkgname VARCHAR2) RETURN VARCHAR2 AS

BEGIN

RETURN 'CREATE PACKAGE BODY ' || pkgname || ' AS

PROCEDURE raise_salary (emp_id NUMBER, amount NUMBER) IS

BEGIN

UPDATE employees

SET salary = salary + amount WHERE employee_id = emp_id;

END raise_salary;

PROCEDURE fire_employee (emp_id NUMBER) IS

BEGIN

DELETE FROM employees WHERE employee_id = emp_id;

END fire_employee;

END ' || pkgname || ';';

END generate_body;

BEGIN

-- Generate package spec

package_text := generate_spec('emp_actions')

-- Create wrapped package spec

DBMS_DDL.CREATE_WRAPPED(package_text);

-- Generate package body

package_text := generate_body('emp_actions');

-- Create wrapped package body

DBMS_DDL.CREATE_WRAPPED(package_text);

END;

-- Invoke procedure from wrapped package

CALL emp_actions.raise_salary(120, 100);

当然调用DBMS_DDL.CREATE_WRAPPED的时候必须保证你的本地没有生命这样的存储过程，或者你在调用的时候要加上SYS.DBMS_DDL.WRAP or SYS.DBMS_DDL.CREATE_WRAPPED,这个时候就得有执行这两个存储过程的权限了。

加密完成之后，查询结果

SELECT text FROM USER_SOURCE WHERE name = 'EMP_ACTIONS';

TEXT

--------------------------------------------------------------------

PACKAGE emp_actions WRAPPED

a000000

abcd

...

这样就成功加密了想要加密的东西。

DBMS_DDL Subprograms限制：

值得注意的是当你调用DBMS_SQL.PARSE这个函数去解析DBMS_DDL.WRAP这个加密的结果的时候，传入的文本超多了32767 bytes，你就必须设置LFFLG为FALSE，否则DBMS_SQL.PARSE这个解析的结果将是混乱的。

好了到此为止，我们的整个旅程就将结束了，东西说的不是很深，并且只是涉及到存储过程的加密，当然了，以此类推，如果你会了存储过程的加密方式，你也就会其他的加密了，知道这些已经够用了，毕竟不是每个项目都能用到此知识点。写的比较乱，主要是我防止日后再用到，能快速查出，备忘而已。