基于SQL语句的数据脱敏实现方法

已于 2024-05-11 13:30:55 修改
阅读量1.1k 收藏 31
点赞数 26
文章标签: sql 数据脱敏
于 2024-03-15 13:20:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haerxiong/article/details/136734818
版权

文章目录

要解决什么

企业进行软件开发、数据分析、数据查询时,不可避免的涉及到数据安全的问题,不同人员能看到的数据不同,如何识别哪些敏感数据被查询了,或者被通过一些处理后隐性的被查询了是非常重要的。如手机号,直接判断是否查询手机号是十分容易的,但是如果查询时通过两次SQL查询,一次查询前手机号前3位,一次查询后8位,则不易被发现,数据也已泄露。本文介绍如何解决“在SQL使用中发现使用敏感数据泄露的行为”。

背景

Jsqlparser

Jsqlparser是一个用Java编写的SQL解析器,可以将SQL语句解析成语法树,方便开发人员进行SQL语句的分析和操作。目前有很多类似的SQL解析器,此类解析器只能将语句解析为语法树,但是不能使上下层结构的业务逻辑关联在一起,因而它只是一个工具,如何判断最终结果中是否涉及敏感数据的逻辑还需要我们自己编写。

安全系统

目前有一些商用的数据安全系统,包含数据脱敏功能,开源的如archery。此类系统可以识别一定类型的SQL语句,但是只包含简单结构,像包含多层嵌套查询、关联查询、函数处理、casewhen语法时,系统不能检测出。

难点

难点:无法支持复杂的嵌套查询、无法支持函数处理后的数据、无法支持casewhen语法、无法支持union关键字等。

目标

搭建一种易于扩展的SQL分析架构,能够方便的分析SQL语法树,建立上下层嵌套语句间的关系,使得SQL查询过程中能够便捷的支持各种语法,识别出可能的敏感数据泄露行为。

方法

语法树遍历

使用Jsqlparser工具将SQL解析为语法树,选择深度遍历优先算法。有两个重要概念:
一是,敏感数据的传染。
即在深度优先遍历时,先找到最底层的子句,根据from后的数据源找出本子句使用的敏感数据,如果上层父语句使用此数据,则对映数据被传染为敏感数据。
二是,敏感数据表。
即维护一个敏感数据<数据名称,来源表,来源字段>的三元组集合。一开始集合中只包含数据库中的原始字段,我们把敏感数据做一个事前的基础维护。然后在分析语法树的每层结构时,不断增加这个集合的内容,一旦某层的中间数据被传染,则加入到集合中,并记录来源。最后自下而上一层层追溯到顶端,则可以发现全部被传染的敏感数据。

实现

// 数据三元组如下
public class Col {
    public String srcTable;// 真实来源表
    public String srcCol;// 真实来源列
    public String name;// 别名
}
// 数据集合如下
private HashMap<String, Set<Col>> tableMaps = new HashMap<>();

select a.pho,b.money, (select f.name from user_friend f where f.user_id = a.id limit 1) friendName from (select pho from (select phone pho from user t1 where t1.create_time < ‘2023-05-01’) t where t.create_time > ‘2023-01-01’) a join bank b on a.id = b.user_id;为例

初始化

首先初始化中间数据集合,这些初始信息由其他系统认为设置或自动扫描识别得到,如我们设置user表的phone是敏感信息,则初始集合为Col<name:phone,srcCol:phone,srcTable:user>

使用Jsqlparse等工具解析sql为语法树,对语法树进行深度优先遍历,伪代码如下:

public void visit(PlainSelect plainSelect) {
	//accept(this)递归本方法实现深度遍历
     
	PlainSelect sub = findSub(plainSelect.getFromItem());
    sub.accept(this);

	List<Join> joins = plainSelect.getJoins();
    for (Join join : joins) {
        PlainSelect s = findSub(join.getRightItem());
        s.accept(this);
    }

	for (SelectItem selectItem : plainSelect.getSelectItems()) {
        PlainSelect sub = findSub(selectItem);
        sub.accept(this);
    }
}

第一轮

第一轮处理如下子句,根据集合得知phone为敏感数据,pho虽然重新定义了别名,但其被传染为敏感数据,则集合中增加一条Col<name:t.pho,srcCol:phone,srcTable:user>
(select phone pho from user t1 where t1.create_time < ‘2023-05-01’) t

第二轮

第二轮处理如下子句,根据上一轮集合结果,t.pho为敏感数据,则a.pho也被传染为敏感数据,则集合中增加一条Col<name:a.pho,srcCol:phone,srcTable:user>
(select pho from (select phone pho from user t1 where t1.create_time < ‘2023-05-01’) t where t.create_time > ‘2023-01-01’) a

第三轮

第三轮处理如下子句,根据上一轮集合结果,a.pho为敏感数据,则最终发现a.pho是敏感数据,依此类推。
select a.pho,b.money, (select f.name from user_friend f where f.user_id = a.id limit 1) friendName from (select pho from (select phone pho from user t1 where t1.create_time < ‘2023-05-01’) t where t.create_time > ‘2023-01-01’) a join bank b on a.id = b.user_id;

总结

1、便于逻辑分析,每次只需要解决上下相邻层间的逻辑问题,而不必跨层,大大降低了难度。
2、逻辑结构清晰,多层嵌套问题被切割成了两层语句的问题,便于后期更复杂逻辑的扩展。

Victor刘
关注
  • 26
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql语句对数据进行脱敏
u010741112的博客
05-22 2445
SQL Server 提供了一些解决方案,可以处理不同类型的敏感数据,例如字符串,数字,日期,时间,文件,图像。随着新的法律要求和业务需求,有些企业深刻地意识到,对数据的安全和脱敏处理,以保护敏感数据,如PII,假面具等,非常重要。SQL Server 脱敏技术可以处理多种类型的敏感数据,例如对数据字符串,数字,日期,时间,文件,图像进行哈希,unicode,段落,非重复的无记忆的值等。其中expression 是要截取部分的原始字符串,start 是要截取的起始位置,length是要截取的长度。
基于mybatis 来实现对敏感数据在进出DB时候进行脱敏处理, 让各位码友们无需自己各种手动实现
06-03
在 `intercept` 方法中,可以获取到 SQL 语句,然后根据业务需求对其中的敏感字段进行处理。 2. **定义脱敏策略**:确定敏感数据的脱敏规则,如替换为星号、截断特定长度、随机替换等。这些规则可以根据不同的字段...
不同长度的证件号,用sql查询时候脱敏
weixin_47863850的博客
12-22 632
证件号字段会存身份证(18位),也会存护照号(9位),或者国际护照(可能小于9位)。脱敏规则:身份证和大于等于8位的护照号都展示前3位后4位,小于8位的护照只展示前3位。
简单的SQL数据脱敏
心有猛虎细嗅蔷薇
08-04 9309
-- 脱敏姓名 UPDATE table SET `name` = (if(LENGTH(name)>2,CONCAT(LEFT(name,1), '**' ),CONCAT(LEFT(name,1), '*' ))); -- 脱敏身份证号 UPDATE table SET idNumber = (if(LENGTH(idNumber)>0,CONCAT(LEFT(idNumber,4), '************' ,RIGHT(idNumber,2)),'')); -- 脱敏手机号 U
sql脱敏
weixin_46000937的博客
09-07 4357
sql脱敏其实就是对敏感字符进行替换,在公司的日常开发中,比如一个查询列表操作,就经常要对一些查出来的私密信息进行脱敏操作,比如身份证号的脱敏规则就是只需要保留前三位和后三位数字,其它用*号代替。
数据脱敏的 3 种常见方案,好用到爆!
2301_78586758的博客
07-18 1417
数据脱敏插件,目前支持地址脱敏、银行卡号脱敏、中文姓名脱敏、固话脱敏、身份证号脱敏、手机号脱敏、密码脱敏 一个是正则脱敏、另外一个根据显示长度脱敏,默认是正则脱敏,可以根据自己的需要配置自己的规则。mybatisplus 的新作,可以测试使用,生产需要收费。根据定义的策略类型,对数据进行脱敏,当然策略可以自定义。可参考:海强 / sensitive-plus。MYSQL(电话号码,身份证)数据脱敏实现。3、Appliation启动类。4、配置类,自定义脱敏策略。
使用sql语句对数据库脱敏
山有顶峰,湖有彼岸,当觉得余味苦涩,相信,一切终有回甘
03-10 8007
数据脱敏 update table set 列 = REPLACE(列,SUBSTR(列,2,1),'*') 庞*文
Flink SQL数据脱敏解决方案
Ververica的博客
05-10 312
Flink SQL数据脱敏解决方案,支持面向用户级别的数据脱敏访问控制,即特定用户只能访问到脱敏后的数据。
sql语句生成器
06-26
SQL语句生成器是一款实用工具,专为程序员和数据库管理员设计,用于自动化生成大量INSERT语句,从而在数据库中批量导入数据。这个工具极大提升了工作效率,特别是在需要将大量数据从一个源迁移到另一个源,或者在...
mysql sql语句隐藏手机号码中间四位的方法
09-09
以下将详细讲解如何通过SQL语句实现这一目标,主要涉及两种方法。 **方法一:使用`REPLACE()`函数** `REPLACE()`函数在MySQL中用于在字符串中替换所有指定的目标子串。在这个场景下,我们可以用它来替换手机号码的...
oracle脱敏
06-25
With Oracle Data Masking, sensitive and valuable information can be replaced with realistic values. This allows data to be safely used in non-production and incompliance with regulatory requirements such as Sarbanes-Oxley, PCI DSS, HIPAA and as well as numerous other laws and regulations
基于inception的SQL审核平台
08-09
【基于inception的SQL审核平台】是一个用于提升数据库安全性和管理效率的重要工具,它整合了多种功能,如SQL工单管理、动态数据脱敏、慢日志监控以及数据库审核等,旨在为企业提供全面的数据库操作审计和控制。...
SQLServer数据库导出SQL语句
09-10
本文将详细探讨如何从SQL Server数据库导出SQL语句。 首先,我们需要了解SQL Server提供的两种主要方法实现这个目标:SQL Server Management Studio (SSMS) 和 T-SQL 命令。 1. **使用SQL Server Management ...
使用sql语句对pgsql数据库某些字段脱敏,及其关联表该字段
weixin_45039855的博客
09-20 555
使用sql语句对pgsql数据库某些字段脱敏,及其关联表该字段
SQL审核查询平台Archery
青龙小码农
08-15 7398
简介 rchery是archer的分支项目,定位于SQL审核查询平台,附加部分DB运维功能,所有功能都兼容手机端操作 archer 基于inception的自动化SQL操作平台,支持工单、审核、定时任务、邮件、OSC等功能,还可配置MySQL查询、慢查询管理、会话管理等 主要功能 自动审核 发起SQL上线,工单提交,由inception自动审核,审核通过后需要由审核人进行人工审核 人工审核 inc...
数据脱敏 sql及java代码实现
Arog的博客
05-19 1268
1 sql 实现: -- 电话号码脱敏sql: SELECT mobilePhone AS 脱敏前电话号码,CONCAT(LEFT(mobilePhone,3), '********' ) AS 脱敏后电话号码 FROM t_s_user -- 身份证号码脱敏sql: SELECT idcard AS 未脱敏身份证, CONCAT(LEFT(idcard,3), '****' ,RIGHT(idcard,4)) AS 脱敏后身份证号 FROM t_s_user 2 java 实现 方式1 im
MySql 主从同步会不会影响到SQL执行速度?
最新发布
weixin_44892327的博客
07-24 769
作用:负责将主库的二进制日志(binary log)数据传输到从库。工作方式:当从库连接到主库时,主库会为每个连接的从库开启一个 Binlog Dump 线程。这个线程从主库的二进制日志中读取日志记录,并将其发送给从库。Binlog Dump 线程:将二进制日志传输给从库。Binlog Dump GTID 线程(在启用 GTID 模式时):处理 GTID 相关的复制任务。
数据库sql语句脱敏
08-24
数据库SQL语句脱敏是指使用特定的函数或方法对敏感数据进行处理,以保护数据的真实性和隐私性。SQL Server提供了各种脱敏函数,可以处理不同类型的敏感数据,如字符串、数字、日期、时间、文件、图像等。 在SQL Server中,可以使用脱敏函数来实现不同的脱敏需求。例如,可以使用REPLACE函数来替换姓名中的部分字符为特定的符号,如将姓名中的第二个字符替换为星号。具体的SQL语句可以是:UPDATE table SET column = REPLACE(column, SUBSTR(column, 2, 1), '*')。 除了姓名脱敏,还可以使用其他的脱敏函数来处理其他类型的敏感数据。根据具体的需求,可以选择合适的脱敏函数,并结合其他SQL语句进行数据处理。SQL Server的脱敏技术可以帮助用户更好地处理敏感数据,保护数据的安全性和隐私性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [sql语句对数据进行脱敏](https://blog.csdn.net/u010741112/article/details/130812698)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [使用sql语句对数据库脱敏](https://blog.csdn.net/weixin_45817985/article/details/130419452)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值