sql server 里面的 dynamic Data Masking
有时候啊,当我们存放在数据库里面的数据,需要明文存放,但是对于前台查询出来的,又不太希望明文放出去的时候(比方说客户的手机啊,邮箱啊)之类有点敏感的信息,之前通常是保存个明文,然后在前台展现的时候再特殊处理一下,然后就ok了。
而现在呢,在2016提供了data mask的功能,可以遮掩对应列的一些基础信息
事不宜迟,先做样例
1 create table t2(ID int identity,Name nvarchar(50),PWD varchar(20),Phone varchar(50),Email varchar(200))
2
3 go
4 insert into t2 (Name ,PWD ,Phone ,Email )
5 select '张三','zhangsan','12433281924','zhangsan@qq.com'
6 union all
7 select '李四','wojiaolisi','18734612309','lisi@sohu.com'
8 union all
9 select '王五','wangwu','15378198234','wangwu@21cn.com'
10 union all
11 select 'sixgod','godsixzhao','00834123642','sixgod@qq.com'
12
13 select * from t2
14
15 ID Name PWD Phone Email
16 ----------- -------------------------------------------------- -------------------- -------------------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
17 1 张三 zhangsan 12433281924 zhangsan@qq.com
18 2 李四 wojiaolisi 18734612309 lisi@sohu.com
19 3 王五 wangwu 15378198234 wangwu@21cn.com
20 4 sixgod godsixzhao 00834123642 sixgod@qq.com
然后我们对这个表的某个列进行mask 的操作。比方说我们对密码进行一个mask 可以使用以下语句
alter table t2 alter column PWD add masked with (function='default()') 然后我创建来一个用户Test1 然后只对他授予一个查询的权限。运行如下 execute as login='Test1' select * from t2 ID Name PWD Phone Email ----------- -------------------------------------------------- -------------------- -------------------------------------------------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 1 张三 xxxx 12433281924 zhangsan@qq.com 2 李四 xxxx 18734612309 lisi@sohu.com 3 王五 xxxx 15378198234 wangwu@21cn.com 4 sixgod xxxx 00834123642 sixgod@qq.com
默认的方法,是将整个列的替换成XXXX来显示。(仅仅在查询的时候会变成这样,数据并没有真正修改成 XXXX)。这是一种mask 的方法。
2016提供给了4种mask 的方式,上面已经演示来一种,还有3种分别是 email(),ramdom(),Custom masking 这3种,下面就演示一下
alter table t2 alter column Email add masked with (function='Email()') alter table t2 alter column ID add masked with (function='Random(1000,9999)') alter table t2 alter column Phone add masked with (function='partial(4,"****",4)') select * from t2 ID Name PWD Phone Email ----------- -------------------------------------------------- -------------------- -------------------------------------------------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 7952 张三 xxxx 1243****1924 zXXX@XXXX.com 7601 李四 xxxx 1873****2309 lXXX@XXXX.com 5583 王五 xxxx 1537****8234 wXXX@XXXX.com 3190 sixgod xxxx 0083****3642 sXXX@XXXX.com
2、Email() 这个函数只显示email 的第一位以及 @,其他全部使用X来Mask
3、Random(1000,9999) 显示的值从1000~9999 之间生成的随机整数进行mask
4、partial 相当于自定义mask 模式,格式 (前缀保留位数,mask串,后缀保留位数) 这个格式进行创建
那是不是加来mask之后就无法看到原始数据呢?并不是的,是需要使用权限进行控制
grant unmask to User revoke unmask from User
只要有unmask这个权限,那么就可以看到原始数据啦~~~
PS:可以查看那些列有mask 的哦
select object_name(object_id),name,masking_function from sys.masked_columns (无列名) name masking_function t2 ID random(1000, 9999) t2 PWD default() t2 Phone partial(4, "****", 4) t2 Email email()
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· Manus的开源复刻OpenManus初探
· 写一个简单的SQL生成工具
· AI 智能体引爆开源社区「GitHub 热点速览」
· C#/.NET/.NET Core技术前沿周刊 | 第 29 期(2025年3.1-3.9)