使用sqlite3的免费版本是不支持加密的。为了能使用上加密sqlite3,有一个免费的开源项目sqlcipher提供了免费和付费的加密sqlite功能。我们当然选择免费的版本啦。
官方网站:
https://www.zetetic.net/sqlcipher/open-source/
文档目录:
https://www.zetetic.net/sqlcipher/documentation/
设计简介:
https://www.zetetic.net/sqlcipher/design/
API文档:
https://www.zetetic.net/sqlcipher/sqlcipher-api/
源码下载
git clone https://github.com/sqlcipher/sqlcipher.git
如何编译
查看源码的README.md 的编译过程。
我们使用的目标板是aarch64(arm64)的linux环境,我们的查看一下我们的编译环境。编译环境如下:
$ env | grep aarch
CXX=aarch64-linux-gnu-g++
LD=aarch64-linux-gnu-ld
AR=aarch64-linux-gnu-ar
NM=aarch64-linux-gnu-nm
PATH=/home/xx/.local/bin:/usr/local/openresty/nginx/sbin:/usr/local/openresty/bin:/usr/local/node-v18.16.0-linux-x64/bin:/home/xx/workspace/toolchain/go/bin:/home/xx/.cargo/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/snap/bin:/usr/local/openresty/nginx/sbin:/home/xx/workspace/toolchain/gcc-arm-8.3-2019.03-x86_64-aarch64-linux-gnu/bin:/home/xx/sonar_tools/sonar-scanner-4.7.0.2747-linux/bin:/home/xx/sonar_tools/build-wrapper-linux-x86
CC=aarch64-linux-gnu-gcc
CROSS_COMPILE=/home/xx/workspace/rk3568-git/rk_hal/src/rk3568/prebuilts/gcc/linux-x86/aarch64/gcc-linaro-6.3.1-2017.05-x86_64_aarch64-linux-gnu/bin/aarch64-linux-gnu-
下面是交叉编译的脚本如下:
# cat build.sh
export AARCH64_SYSROOT=/your/aarch64/sysroot_path
./configure --enable-tempstore=yes --host aarch64 CFLAGS="-DSQLITE_HAS_CODEC --sysroot=$AARCH64_SYSROOT" LDFLAGS="-lcrypto --sysroot=$AARCH64_SYSROOT" --prefix=$AARCH64_SYSROOT/usr/local
unset AARCH64_SYSROOT
make
编译生成了./.libs/libsqlcipher.a 库,是一个静态库。应该也能生成动态库。
make install
安装了头文件和库
include
└── sqlcipher
├── sqlite3ext.h
└── sqlite3.h
bin
└── sqlcipher
在使用过程中和sqlite3原生的api一样使用。
在应用代码中,去掉原生的sqlite3.h头文件,包含sqlcipher/sqlite3.h和 sqlcipher/sqlite3ext.h头文件。你会发现原生头文件和sqlcipher的防止重复包含宏定义相同,所以一定要去掉原生的有文件。
在应用代码的编译中,Makefile加入编译选项CFLAGS += -DSQLITE_CORE=1 -DSQLITE_HAS_CODEC=1。不加就会报错identifier “sqlite3_api” is undefined。 在链接阶段链接-lcrypto -lsqlcipher。无需再
链接-lsqlite3。
int sqlite3_key(sqlite3 *db, const void *pKey, int nKey);
上述函数等价于sqlite语句PRAGMA key = 'passphrase';
sqlite3_rekey(sqlite3 *db, const void *pKey, int nKey);
上述函数等价于PRAGMA rekey = 'new-passphrase';
修改密码的流程一般是先输入旧的密码然后修改新密码。先sqlite3_key 然后sqlite3_rekey。等价于下面sqlite操作。
PRAGMA key = 'passphrase'; -- start with the existing database passphrase
PRAGMA rekey = 'new-passphrase'; -- rekey will reencrypt with the new passphrase
验证:对于之前没有密码的数据库可以字节rekey吗?
sqlcipher
.open file.db
PRAGMA key = 'passphrase'
# sqlcipher file.db
SQLite version 3.41.2 2023-03-22 11:56:21 (SQLCipher 4.5.4 community)
Enter ".help" for usage hints.
sqlite> PRAGMA key = '123456';
ok
sqlite> select * from sqlite_master;
# sqlcipher
SQLite version 3.41.2 2023-03-22 11:56:21 (SQLCipher 4.5.4 community)
Enter ".help" for usage hints.
Connected to a transient in-memory database.
Use ".open FILENAME" to reopen on a persistent database.
sqlite> .open file.db
sqlite> PRAGMA key = '123456adss';
ok
sqlite> select * from sqlite_master;
Parse error: file is not a database (26)
sqlite> .q
如果未加密的数据库可以直接使用selelct访问sqlite_master表,加密的数据库访问时,会报错。未加密的数据库,使用原生的sqlite3工具也能打开,加密的
数据库使用sqlite3打开后设置密码无反应ok,select访问报错file is not a database。
调用backup = sqlite3_backup_init(new_db, “main”, dbh->db, “main”)时报错了。报错如下:
sqlite3 backup init error, backup is not supported with encrypted databases。看来加密数据库不支持这样的备份API。
在API中找到了一个这个函数,用来进行加密和非加密之间复制和拷贝。
SQLCipher用法注意:
如果当前数据库是明文数据库,SQLCipher不会加密。如果当前数据库已加密,且pNew0或nNew0,则SQLCipher不会解密。这个例程仅适用于已经加密的数据库,以便更改密钥。
根据SQLCipher文档,从明文到加密或加密到明文的转换应该使用附加的数据库和sqlcipher_export()方便函数。
sqlcipher_export() 函数
sqlcipher_export是一个方便的函数,它将主数据库的全部内容复制到附加数据库,包括架构、触发器、虚拟表和所有数据。它的主要功能是可以轻松地从非加密数据库迁移到加密数据库,
从加密数据库迁移到非加密数据库,或者在 SQLCipher 支持的加密数据库的各种选项之间迁移。有关此主题的其他信息和讨论,请参阅这篇关于如何使用 SQLCipher 加密明文数据库的帖子
Example 1: Encrypt a Plaintext Database
$ ./sqlcipher plaintext.db
sqlite> ATTACH DATABASE 'encrypted.db' AS encrypted KEY 'testkey';
sqlite> SELECT sqlcipher_export('encrypted');
sqlite> DETACH DATABASE encrypted;
Example 2: Decrypt a SQLCipher database to a Plaintext Database
$ ./sqlcipher encrypted.db
sqlite> PRAGMA key = 'testkey';
sqlite> ATTACH DATABASE 'plaintext.db' AS plaintext KEY ''; -- empty key will disable encryption
sqlite> SELECT sqlcipher_export('plaintext');
sqlite> DETACH DATABASE plaintext;
Example 3: Convert from a 3.x to 4.x Database
$ ./sqlcipher 1.1.x.db
sqlite> PRAGMA key = 'testkey';
sqlite> PRAGMA cipher_page_size = 1024;
sqlite> PRAGMA kdf_iter = 64000;
sqlite> PRAGMA cipher_hmac_algorithm = HMAC_SHA1;
sqlite> PRAGMA cipher_kdf_algorithm = PBKDF2_HMAC_SHA1;
sqlite> ATTACH DATABASE 'sqlcipher-4.db' AS sqlcipher4 KEY 'testkey';
sqlite> SELECT sqlcipher_export('sqlcipher4');
sqlite> DETACH DATABASE sqlcipher4;
Example 4: Changing Cipher Settings
$ ./sqlcipher encrypted.db
sqlite> PRAGMA key = 'testkey';
sqlite> ATTACH DATABASE 'newdb.db' AS newdb KEY 'newkey';
sqlite> PRAGMA newdb.cipher_page_size = 4096;
sqlite> PRAGMA newdb.cipher = 'aes-256-cfb';
sqlite> PRAGMA newdb.kdf_iter = 10000;
sqlite> SELECT sqlcipher_export('newdb');
sqlite> DETACH DATABASE newdb;
Example 5: Copying an attached plaintext database to a new empty encrypted main database
$ ./sqlcipher encrypted.db
sqlite> PRAGMA key = 'testkey';
sqlite> ATTACH DATABASE 'plain.db' AS plain KEY '';
sqlite> SELECT sqlcipher_export('main', 'plain');
sqlite> DETACH DATABASE plain;