SQLServer动态掩码的详细介绍（代码示例）

动态数据掩码（DDM）是SQL Server 2016引入的一个新功能。目的就是限制没有权限的人去看到一些隐私信息。管理员用户能够决定哪些字段是需要被掩码的，那么如何在不改变应用程序代码的基础上掩码？还要保证无论如何访问数据，都是一致的。

这是Azure SQL数据库中首次引入的特性，它在云上接受用户的测试，并已迁移到本地产品。我想很多其他的新特性也会遵循这条方式（云--本地）。

需要注意的是与我之前的行级别数据安全一样，这些都是数据安全相关内容（推荐课程：MySQL教程）

列数据掩码

首先创建一个在一些数据上带有掩码版的表。我将在表定义中开始的一个字段中添加一个掩码。注意，这样做的方式是在数据类型之后使用“mask with()”格式，但是在NULL和默认选项之前，要在圆括号内包含FUNCTION = "，它指定了我们的函数。在引号内，我们指定掩码。CREATE TABLE语句如下

CREATE TABLE MyTable
  ( MySSN VARCHAR (10) MASKED WITH (FUNCTION = &＃39;default()&＃39;) DEFAULT (&＃39;0000000000&＃39; )
 , MyName VARCHAR (200) DEFAULT ( &＃39; &＃39;)
 , MyEmail VARCHAR (250) DEFAULT ( &＃39;&＃39;)
 , MyInt int
)
GO
INSERT dbo. MyTable
 ( MySSN , MyName, MyEmail , MyInt)
VALUES
 ( &＃39;1234567890&＃39;, &＃39;Steve Jones&＃39;, &＃39;SomeSteve@SomeDomain.com&＃39;, 10 )

如果创建者查询这个表，就会看到一个普通的表。我得到所有的数据，当它被插入时。这是因为我是一个有权限的用户。同理那些具有dbo特权(db_owner或sysadmin角色)的用户将不会看到屏蔽数据。现在创建一个正常的用户没有高权限的用户。当然，我需要授予普通的SQL Server权限来查看表中的数据。

CREATE USER mytest WITHOUT LOGIN
GRANT SELECT ON mytable TO mytest

现在我们可以用这个用户查询这个表，看一下有什么不同。

我可以在表上定义其他类型的掩码。有一个自定义的掩码格式，允许控制显示的内容，一个电子邮件地址的遮罩，和一个随机的数字遮罩。我们将在另一篇文章中详细讨论这些问题。

现在可以添加掩码到另一列上面，比如邮件MyEmail列，可以使用邮件掩码的格式，具体代码如下：

ALTER TABLE dbo.MyTable
 ALTER COLUMN MyEmail VARCHAR(250) MASKED WITH (FUNCTION=&＃39;email()&＃39;)
GO

然后查询结果如下:

也可以对多个和列进行掩码

CREATE TABLE MySecondTable (
  MyEmail VARCHAR( 250) MASKED WITH (FUNCTION= &＃39;email()&＃39;)
, MySSN VARCHAR (10) MASKED WITH (FUNCTION =&＃39;default()&＃39;)
, MyID INT MASKED WITH (FUNCTION =&＃39;random(1,4)&＃39;)
)GOINSERT MySecondTable VALUES
   ( &＃39;myname@mydomain.com&＃39;, &＃39;1234567890&＃39;, 100 )
 , ( &＃39;abrother@mycorp.com&＃39; , &＃39;0123456789&＃39; , 555)
 , ( &＃39;somesister@somecompany.org&＃39; , &＃39;9876543210&＃39; , 999)

查询结果如下:

移除掩码

代码如下：

ALTER TABLE dbo.MySecondTable
  ALTER COLUMN MySSN DROP MASKED;

一旦我这样做，用户将直接看到真实数据。

MySSN列的数据是未屏蔽的，但是MyEmail和MyID的数据仍然是屏蔽的

总结

动态数据屏蔽是一个很好的新特性，旨在更容易地保护数据不受非特权用户的影响。这可以在数据库中实现，而不需要更改任何应用程序代码，从而允许您以最小的成本和工作量对应用程序用户屏蔽敏感数据。我还要提醒您，这并不是真正的安全特性。存储在磁盘和表中的数据不会以任何方式更改。这仍然是纯文本数据，如果用户能够查询系统，他们仍然可以潜在地查询您的数据并发现其值。

无论如何，这个特性对于尤其是需要数据脱密使用的系统来说无疑是有帮助的。当然17以后功能也有了长足的进步后面有机会我会继续介绍。

以上就是SQLServer动态掩码的详细介绍（代码示例）的详细内容，更多请关注 第一PHP社区 其它相关文章！