如何降级加密的Sqlite数据库文件

前情提要

之前升级Electron框架至5.x版本时，因编译报sqlite3相关错，加上Sqlcipher官网上声称4.x版本在性能和安全性上有了很大提升。因此，将项目的sqlite3库做了基于4.x Sqlcipher的重编译。重编译后的库，只需要在连接原数据库文件后，运行PRAGMA cipher_migrate语句，就能将数据库文件升级为具有4.x特性（具体哪些特性没在意...）。具体可参考作者的升级介绍：Upgrading to SQLCipher 4。

升级后，基于Electron 5.x的项目确实能运行了。But！旧的sqlite库无法打开升级后的数据库文件了。一时半会也没那么多时间去解决Electron升级后的各种兼容问题，只能想办法怎么把数据库恢复了。

如何降级加密数据库文件？

需求

将数据库文件降级，支持原sqlcipher(3.x)打开。

问题

Sqlcipher提供了数据库升级语句PRAGMA cipher_migrate，但没有降级的（倒是有个高版本库以低版本特性运行的语句：PRAGMA cipher_compatibility = 3;）。这里还有个老哥提过类似需求：Downgrade from version 4.2.0 to 3.5.9，然而作者明确回复没有直接降级的方法。

分析

既然没有现成的Downgrade方法，那只能另辟蹊径了。在查看了官网的各种文档和各种尝试后，总结下可行的操作步骤：

1. 使用升级后的Sqlcipher库，将数据库文件解密转化为非加密的纯文本数据库文件（plaintext db）；
2. 使用原Sqlcipher库，在plaintext db基础上复制一份加密库文件，然后进行数据迁移。

主要用到的是数据迁移相关的关键字ATTACH和sqlcipher_export()函数。

实现降级的过程这样看下来并不复杂，无非就是加密库和非加密库之间的来回数据迁移。关键在于区分好前后使用的Sqlcipher版本。

降级的具体操作流程

1. 将4.x版本的数据库文件解密生成纯文本数据库文件

   这一步需要用到4.x版本的Sqlcipher，之前重编译Sqlite时有在本地全局安装Sqlcipher。因此，这一步，直接在终端操作：

   $ ./sqlcipher encrypted.db
   sqlite> PRAGMA key = 'testkey';
   sqlite> ATTACH DATABASE 'plaintext.db' AS plaintext KEY '';  -- empty key will disable encryption
   sqlite> SELECT sqlcipher_export('plaintext');
   sqlite> DETACH DATABASE plaintext;
   

   成功执行后，得到没有加密的纯文本数据库文件plaintext。

2. 使用旧版本Sqlcipher对纯文本数据库文件重加密

   本地没有旧版本的Sqlcipher，使用的是项目里已经编译好的加密版Sqlite。新建一个JS文件，执行以下code：

   const sqlcipher = require('cross-sqlcipher').verbose();
   const sqlite3 = require('sqlite3').verbose();
   const dbPath = path.resolve('./plaintext.db');
   const plainDb = new sqlcipher.Database(dbPath, (err) => {
     if (!err) {
       console.log('open plain db success');
       plainDb.serialize(() => {
         plainDb.run('ATTACH DATABASE \'encrypted.db\' AS encrypted KEY \'testkey\'', (err, res) => {
              console.log('attach finish');
            }).run('SELECT sqlcipher_export(\'encrypted\')', (err, res) => {
               console.log('sqlcipher_export finish');
            }).run('DETACH DATABASE encrypted');
       });    
    }
   });
   

   执行完毕后，生成的encrypted.db即可以被原项目的Sqlite库正常打开。

引申：数据库异常 - SQLITE_CORRUPT

// log
{ Error: SQLITE_CORRUPT: database disk image is malformed errno: 11, code: 'SQLITE_CORRUPT' }

参考：ERROR: SQLite database is malformed – SOLVED

之前升级了本地的sqlcipher版本，无法打开用户的数据库文件，重新下载项目中的版本3.4.1，复制到目录（macos）/usr/local/Cellar/sqlcipher , 使用bin目录下sqlcipher程序打开用户数据库文件。

解密后，导出完整的数据库语句：

./bin/sqlcipher _data.db
PRAGMA key = 'yourkey';
.mode insert;
.output data_export.sql;
.dump
.exit

完成以上指令后，数据库的所有数据已经导出到sql文件中，通过该文件重新生成db文件。

// 备份
mv _data.db _data.db.original
sqlite3 _data.db < data_export.sql

校验新生成的数据库是否能正常打开。参考上面Sqlcipher加密纯文本数据库文件的步骤，完成数据库加密。