三空道人的博客

OUTER 通常省略，所以我们在查询语句中看到的大都是 FULL JOIN、LEFT JOIN、RIGHT JOIN。可以看到id 的值2、5是TableA 独有的，而id=1是TableB仅有的；全连接，返回两个表全部数据，不存在的以NULL表示。

服务器角色public所有登陆名都属于public服务器角色，登陆名是不能移除public角色的，且public角色是不能删除的。这对于我们来说是相当恐怖的事情，因为权限分配的第一原则即最小权限原则，对于一个不可掌控的权限，我们的心里是非常忐忑的。那么public角色具有哪些权限？属于public角色的成员能做些什么操作？public权限是否可以收回？本文将带你解决这些问题。public ...

动态数据掩藏（DDM）是SQL Server 2016 CTP 2.1引入的新功能数据库加密技术本质上改变了数据存储结构，而DDM只是在返回客户端的时候对数据进行隐藏。sysadmin的成员登陆账户或者db_owner角色的用户有查看DDM数据的权限。数据库迁移助手评估DDM候选者您的数据库包含需要对终端用户掩藏的数据，但是您并不能确定哪些列为Dynamic Data Masking（DDM）候选者。我们如何确认这些列并实施DDM来保护这些数据？您可以使用Databa...

通常情况下，我们在SSMS客户端看到Always Encrypted 加密列的数据都是密文的。那么是否可以查看解密后的数据呢？如何配置才能实现呢？本文将阐述该过程的实现。要在SSMS客户端查看Always Encrypted加密列解密后的数据，需要三个前提： 对应数据库需要合适的权限 客户端所在计算机安装Always Encrypted证书 设置连接属性 权限设置要查看数据，对象SELECT权限是必要的，其次要有查看列主秘钥和列加密秘钥的权限--创建登陆账户.

过去SQL Server有多种加密数据的方式，如透明数据加密（TDE）。这种技术是在数据库文件或者备份被盗用时，保护静态数据。然而对于可以访问数据库本身，或者任何拥有数据库的用户，可以获取秘钥、证书和密码（系统管理员、黑客诸如此类），是没有效果的。SQL Server 2016新引入了Always Encrypted 功能，其设计的目的即时保护敏感数据，如手机号、身份证、银行卡号等等，可以同时加密静态和动态数据（内存中的数据也会被加密）。因此，这可以保护数据免受流氓管理员、备份窃贼和中间人攻击。和TDE

为避免SQL Server遭受攻击，组织必须不断评估数据库系统来确定是否存在漏洞。这是一种有效的主动防御方法，用于分析数据库中的潜在漏洞及其与标准设置的偏差，如太大的权限、敏感数据的暴露、错误配置等。这也是满足遵循法规的需求。安全合规，辨别确认安全漏洞对组织来说是非常重要的。一些可能的数据库漏洞： 用户和组权限过大 敏感数据，如信用卡、银行账户等 SQL注入 实例或数据库配置 孤立数据库用户、角色或组 此前，使用SQL Server，我们需要使用自定义.

无论是SQL Server对称秘钥、非对称秘钥管理，还是使用对称秘钥或非对称秘钥对数据进行加密解密，以及数据库TDE，我们都有提到EKM（Extensible Key Manager），那么什么是EKM呢？为何要使用EKM呢？请看下文分享。SQL Server 的EKM 使得第三方EKM/HSM 供应商能够在SQL Server中注册他们的模块。当注册完成后，SQL Server 用户可以使用存储在EKM模块上的秘钥。这使得SQL Server可以使用这些模块提供的高级功能，如批量加密和解密，钥匙管..

在应用开发中，我们会经常遇到一个问题，即用户密码如何加密？登录应用时如何验证用户密码的正确性？本文将使用EncryptByPassPhrase函数实现这两个过程。首先我们在数据库EncryptionTest库中创建会员信息表MemberInfo，这里我们只创建两个列，一个会员编号，一个密码列，实际生产中需要更多的列来记录信息，这里就不列举了。USE EncryptionTestGOCREATE TABLE MemberInfo( MemberID INT NOT NULL PRIMARY

加密过程的区别首先我们使用两个简易的加密、解密过程图来说明对称秘钥和非对称秘钥的区别。对称秘钥加密解密图示过程：对称秘钥有且只有一个秘钥，加密解密使用相同秘钥，一旦用户获得秘钥，就可以解密任何你使用其加密的数据。非对称秘钥加密解密的过程：非对称秘钥加密算法，通常被称为公-私钥加密算法，有两个秘钥。一个可以分发给需要对数据加密的用户，称为公钥。因此如果某人想发送给你一些信息，并且要対信息进行加密，他们仅仅需要知道公钥即可。另外一个秘钥应该被安全管理，其被称为私钥。非对称秘钥算.

​在《SQL Server 非对称秘钥在数据加密中的应用》一文中，我们了解到可以使用非对称秘钥进行数据加密。本文带着大家深入了解非对称秘钥的生命周期，包括创建、修改和删除。为了熟悉非对称秘钥，我们先创建一个数据库作为测试环境：CREATE DATABASE AsymmetricKeyAdmin ON PRIMARY(NAME='AsymmetricKeyAdmin',FILENAME='D:\database\AsymmetricKeyAdmin.mdf')LOG ON(NAME='Asym

​对称秘钥对数据加密解密使用了ENCRYPTBYMKEY、DECRYPTBYKEY两个函数，而非对称秘钥使用的加密解密函数分别是ENCRYPTBYASYMKEY、DECRYPTBYASYMKEY。本文将说明这两个函数如何对数据加密和解密，以及如何应用于生产实践中。我们仍然使用《SQL Server 对称密钥在数据加密中的应用》中创建的数据库，然后创建一个新表，存储非对称密钥加密的数据。接着从文件中创建一个非对称密钥，这里因为前文已经在EncryptionTest 数据库中创建了数据库主密钥，所以不需要再

对称秘钥，加密和解密使用相同的秘钥。对称秘钥的应用：《SQL Server 对称密钥在数据加密中的应用》对称秘钥的管理包括创建、打开、修改、关闭和删除，本文将逐一使用实例进行介绍。创建对称秘钥创建对称秘钥必定要指定一种加密方式，而对称秘钥有五种加密方式，分别为证书、密码、对称秘钥、非对称秘钥和PROVIDER。我们将按照对称秘钥的加密方式给出创建秘钥的样例。为了演示创建过程，我们先创建一个测试数据库：--创建测试数据库CREATE DATABASE SymmetricKeyAdm

3月19日，网上爆出微博数据泄露。微博方亦迅速回应，表示数据泄露属实。微博表示一直有提供根据通讯录手机号查询微博好友昵称的服务，用户授权后可以使用该服务。但微博不提供用户性别和身份证号等信息，也没有“根据用户昵称查手机号”的服务。因此这起数据泄露不涉及身份证、密码，对微博服务没有影响。目前微博已经及时强化安全策略，并将不断强化。相对来说此次数据泄露引起的危险性不大，不过又引起了我们对数据安全和隐私的关注，且近几年重大的数据泄露事件不断，数据泄露带来的影响也是不可估量的，这足以引起我们

MD5和SHA-1算法都先后被密码学家王小云破解，SQL Server对称秘钥加密算法还安全吗？前文说明TDE的时候，使用了AES_256，SQL Server对称秘钥加密算法还有有哪些？哪些算法可用，有哪些区别？当我们讨论对称秘钥的时候，这些算法或者通过输入未加密数据返回加密数据，或者输入加密数据返回解密数据。为了达到这样的目的，他们使用了秘钥，并且无论是加密还是解密，秘钥都相同。在加密算法方面，对称加密算法要比非对称加密算法快得多。因此，它们是在SQL Server中加密数据的最佳选择。SQL

在《SQL Server 透明数据加密（TDE）的影响》一文中，我们给出启用数据库TDE的备份时，不启用压缩（COMPRESSION ）选项建议（有些片面，现在看来需要加上一些限定条件）。因为在SQL Server 2016版本以前，对TDE数据库备份时使用COMPRESSION，不但不能减少数据库备份文件占用空间，而且备份的时间、CPU都会显著升高。从 SQL Server 2016开始，启用TDE 的数据库，使用COMPRESSION选项进行备份，其压缩效果和未启用TDE之前有类似的效果。但是有个前

在SQL Server 2014（12.x）版本中，在BACKUP DATABASE的参数中增加了ENCRYPTION参数，即备份时，对写入文件的数据进行加密。那么该参数是如何使用的呢？WITH ENCRYPTION 加密对性能有怎样的影响？其和TDE有怎样的关系，两者对性能影响情况如何？本文将通过实例说明，给出该参数用法，并与TDE进行对比。创建测试环境创建数据库test，并在test库...

​错误1：请在数据库中创建一个主密钥或在会话中打开该主密钥执行 Transact-SQL 语句或批处理时发生了异常。在执行此操作之前，请在数据库中创建一个主密钥或在会话中打开该主密钥。错误号: 15581严重性: 16状态: 3行号: 1发生这个错误有三种情况： 确实没有创建数据库主秘钥 创建了主秘钥，但是有使用ALTERMASTERKEYDROPE...

在开启透明数据加密之前，严谨的管理者脑中会出现一些疑问：开启TDE会有哪些影响？会不会造成数据库性能严重下降？哪些影响可以避免、如何避免？本文将一一给出解答。本文采取试验的方式来确认TDE的影响，因为试验步骤比较冗长，这里我们先将结果告知读者。值得注意的是，这里我们只做了简单的测试，其结论只可当做参考。因为您所在的环境包括物理环境（硬盘、CPU、内存）、生产环境（数据库结构、逻辑复杂度等）的不...

从前文中，我们了解到，使用TDE是非常有必要的，但很多同行开始时可能并不知道该功能，或者知道该功能时产品已经运行较长一段时间，那么我们是否可以立刻开始进行TDE了呢？我们先来深入了解TED的过程。TDE对数据库文件的加密是在页级别实现的，被称为静态数据加密，意思是对数据和日志文件同时进行加密。对于数据的变更，TDE实施的实时加密和解密数据和日志文件的过程，先进行加密，再写入磁盘；对于已经存在的...