mysql 触发器之把字段加密(对称aes_encrypt)后保存

接到需求对数据库一些要求安全性较高的数据进行加密；为了减少工作量；避免业务层修改code;利用触发器处理，再者补充一点由于tigger不支持query;故用函数进行select where的加解密；

操作一 before：insert之前把vin 车牌号加密再存脚本如下

• 使用mysql的aes_encrypt加密数据
• 使用Mysql的aes_decrypt解密数据
• 因为加密后的数据比较难看，所以使用to_base64转码数据和from_base64解码数据
• 所以实际保存的数据是加密后又转码的数据
• 查看数据是先解码数据在解密数据

#insert之前把vin 车牌号加密再存
CREATE TRIGGER user_info_enc_trigger2
BEFORE INSERT ON user_info_enc FOR EACH ROW 
#BEGIN
#set new.vin=to_base64(aes_encrypt(new.vin, 'keys')),
#new.plate_number=to_base64(aes_encrypt(new.plate_number, 'keys'));
#END;

BEGIN
if new.vin is not null then 
set new.vin=to_base64(aes_encrypt(new.vin, 'keys'));
end if;
IF new.plate_number is not null then
set new.plate_number=to_base64(aes_encrypt(new.plate_number, 'keys'));
end if;
END;


#删除触发器
drop trigger  user_info_enc_trigger2;
#查看触发器
SHOW TRIGGERS


SELECT AES_ENCRYPT('alex2222','keys');
SELECT AES_DECRYPT(from_base64('h72QOIWUO+SKTmirY7Dsag=='),'test');

 亲测可用；

 操作二 after：insert之后再update(特不友好，不建议)

CREATE TRIGGER `user_info_enc_trigger` 
AFTER INSERT on user_info_enc
FOR EACH ROW
update user_info_enc set new.vin=to_base64(aes_encrypt(vin, 'keys')),new.plate_number=to_base64(aes_encrypt(plate_number,'keys'))

另外一种：原表里面的数据没有加密，创建了一张加密表，循环原表里面的数据，加密后插入到加密表具体操作：脚本url

ps：mysql触发器trigger 实例详解 摘录

 二：用函数进行select where的加解密（加密参数与揭秘参数）：如下图

-- 带传参的函数（加密参数）
show FUNCTION;
DROP FUNCTION IF EXISTS dec_vin; -- 删掉已经存在的
DELIMITER $$    -- 定义分隔符，必须要有，可以不是$$
CREATE FUNCTION dec_vin(str_vin varchar(30)) -- 多个参数用,分割 参数的类型必须是mysql列存在的类型
RETURNS VARCHAR(70)                  -- 指定返回值类型，如果你不确定返回文本长度，可以使用text
BEGIN
    DECLARE vin varchar(70) default ''; -- 定义一个变量，可以指定默认值
    SET vin = to_base64(aes_encrypt(str_vin, 'keys'));                    -- 设置改边变量的值
    RETURN vin;                                 -- 返回值
END $$                                          -- 注意看清楚了，这个end后面有你在前面定义的分割符号
DELIMITER $$

-- 带传参的函数（揭秘参数）
DROP FUNCTION IF EXISTS enc_vin; 
DELIMITER $$    
CREATE FUNCTION enc_vin(str_vin varchar(30)) 
RETURNS VARCHAR(70)                
BEGIN
    DECLARE vin varchar(70) default ''; 
    SET vin = AES_DECRYPT(from_base64(str_vin),'keys');    
    RETURN vin;                                 
END $$                              
DELIMITER $$

总结

---

触发器是基于行触发的，所以删除、新增或者修改操作可能都会激活触发器，所以不要编写过于复杂的触发器，也不要增加过得的触发器，这样会对数据的插入、修改或者删除带来比较严重的影响，同时也会带来可移植性差的后果，所以在设计触发器的时候一定要有所考虑。

触发器是一种特殊的存储过程，它在插入，删除或修改特定表中的数据时触发执行，它比数据库本身标准的功能有更精细和更复杂的数据控制能力。

数据库触发器有以下的作用：

1.安全性。可以基于数据库的值使用户具有操作数据库的某种权利。

  # 可以基于时间限制用户的操作，例如不允许下班后和节假日修改数据库数据。

  # 可以基于数据库中的数据限制用户的操作，例如不允许股票的价格的升幅一次超过10%。

2.审计。可以跟踪用户对数据库的操作。   

  # 审计用户操作数据库的语句。

  # 把用户对数据库的更新写入审计表。

3.实现复杂的数据完整性规则

  # 实现非标准的数据完整性检查和约束。触发器可产生比规则更为复杂的限制。与规则不同，触发器可以引用列或数据库对象。例如，触发器可回退任何企图吃进超过自己保证金的期货。

  # 提供可变的缺省值。

4.实现复杂的非标准的数据库相关完整性规则。触发器可以对数据库中相关的表进行连环更新。例如，在auths表author_code列上的删除触发器可导致相应删除在其它表中的与之匹配的行。

  # 在修改或删除时级联修改或删除其它表中的与之匹配的行。

  # 在修改或删除时把其它表中的与之匹配的行设成NULL值。

  # 在修改或删除时把其它表中的与之匹配的行级联设成缺省值。

  # 触发器能够拒绝或回退那些破坏相关完整性的变化，取消试图进行数据更新的事务。当插入一个与其主健不匹配的外部键时，这种触发器会起作用。例如，可以在books.author_code 列上生成一个插入触发器，如果新值与auths.author_code列中的某值不匹配时，插入被回退。

5.同步实时地复制表中的数据。

6.自动计算数据值，如果数据的值达到了一定的要求，则进行特定的处理。例如，如果公司的帐号上的资金低于5万元则立即给财务人员发送警告数据

---

无论从事什么行业，只要做好两件事就够了，一个是你的专业、一个是你的人品，专业决定了你的存在，人品决定了你的人脉，剩下的就是坚持，用善良專業和真诚赢取更多的信任。不忘初心 方得始终！