SQL查询层脱敏是在不修改原始存储前提下,对返回结果中的敏感字段动态遮蔽,适用于开发测试、BI报表等场景,主流方式包括内置函数、视图封装、行级安全策略及应用层SQL拦截。
SQL敏感数据在查询层脱敏,核心是在不修改原始存储的前提下,对返回结果中的敏感字段(如身份证号、手机号、银行卡号、姓名等)进行动态变形或遮蔽。这种方式轻量、灵活,适用于开发测试、BI报表、后台管理等需临时查看但不可暴露明文的场景。
一、使用SQL内置函数直接脱敏
主流数据库均提供字符串处理函数,适合简单规则的实时脱敏:
-
MySQL:用SUBSTRING + CONCAT隐藏手机号中间4位:
SELECT CONCAT(LEFT(mobile, 3), '****', RIGHT(mobile, 4)) AS mobile FROM user; -
PostgreSQL:用OVERLAY或REGEXP_REPLACE:
SELECT REGEXP_REPLACE(id_card, '(\d{4})\d{10}(\d{4})', '\1**********\2') FROM user; -
SQL Server:用STUFF或SUBSTRING:
SELECT STUFF(card_no, 5, 12, '************') FROM customer;
二、通过视图封装脱敏逻辑
将脱敏语句封装为视图,业务查询时直接查视图,无需重复写脱敏表达式,也便于统一管控:
- 创建脱敏视图:
CREATE VIEW v_user_safe AS SELECT id, CONCAT(LEFT(name, 1), '**') AS name, CONCAT(LEFT(phone, 3), '****', RIGHT(phone, 4)) AS phone, ... FROM user; - 授权给特定角色(如report_reader),禁止其访问原表,只允许查视图。
- 视图可结合CASE WHEN实现按用户角色分级脱敏(如管理员查部分明文,普通用户全遮蔽)。
三、利用数据库行级安全(RLS)+ 脱敏策略
高版本数据库(如PostgreSQL 9.5+、SQL Server 2016+、Oracle VPD)支持基于会话上下文动态控制字段可见性或内容:
- PostgreSQL中,可定义策略使current_setting('app.role')为'admin'时返回明文,否则返回脱敏值;
- SQL Server使用SECURITY_POLICY配合标量函数,在查询时自动注入脱敏逻辑;
- 关键点:脱敏行为由数据库引擎在执行计划阶段介入,应用层无感知,安全性更高。
四、应用层SQL拦截与重写(适配ORM场景)
当无法修改数据库配置或需细粒度控制时,可在应用侧拦截SQL并改写查询字段:
- JDBC层面:使用StatementInterceptor(如ShardingSphere-JDBC、MyBatis插件)识别SELECT语句,对目标列自动替换为脱敏表达式;
- ORM层面:MyBatis中定义TypeHandler,对敏感字段的getResult()方法返回脱敏后值;
- 注意:该方式不改变SQL语义,仅影响结果组装,需确保脱敏逻辑与数据库函数一致,避免前后端不一致。
查询层脱敏不改动源数据,部署快、回滚易,但依赖SQL编写规范和权限隔离。真正落地时建议组合使用——基础字段用视图固化,高权限场景用RLS动态控制,特殊需求再辅以应用拦截。关键是把“谁在什么场景下能看到什么程度的数据”定义清楚,再选择匹配的技术路径。
