Jump to content
  • entries
    292
  • comments
    368
  • views
    59849

The truth about WITH ENCRYPTION option

antonch

Entry posted by antonch ·

695 views

 Share

Όταν βάζουμε το WITH ENCRYPTION option σε μια stored procedure, ένα trigger, μια function ή ένα view ξέρουμε ότι αυτόματα ο κώδικας δεν είναι ορατός. Θα μπορούσαμε να πούμε ότι είναι κλειδωμένος.

Δεν ξέρω αν το γνωρίζεται αλλά ο SQL Server δεν είναι ένα digital rights management system αυτό σημαίνει ότι ο κώδικας που έχει γραφεί μέσα μια sp, function κλπ δεν είναι encrypted, αλλά απλά obfuscated.

Το obfuscation αυτό ο SQL Server εδώ και πολλά χρόνια από τότε που εμφανίστηκε το with encryption option (ούτε καν θυμάμαι από πότε) το κάνει με το να εφαρμόσει bitwise OR στο κείμενο του κώδικα.

Αυτό σημαίνει ότι όποιος χρήστης έχει δικαιώματα VIEW DEFINITION μπορεί να δει τον κώδικα μιας encrypted stored procedure κλπ, αρκεί να εκτελέσει μια άλλη sp που κάνει decrypt το περιεχόμενο της.

Αν ψάξετε στο internet θα βρείτε πολλές. Απλά σας παραθέτω μία που τυχαία τσίμπησα από τα msdn forums και η οποία δουλεύει σε SQL Server 2008 R2, αλλά μόνο για stored procedures.




ShowDecrypted Stored Procedure



  1. CREATE PROCEDURE dbo.ShowDecrypted(@ProcName SYSNAME = NULL)
  2. AS

  3. SET NOCOUNT ON

  4. IF EXISTS

  5. (

  6. SELECT * FROM sys.dm_exec_connections ec JOIN sys.endpoints e

  7. on (ec.[endpoint_id]=e.[endpoint_id])

  8. WHERE e.[name]='Dedicated Admin Connection'

  9. AND ec.[session_id] = @@SPID

  10. )

  11.     BEGIN

  12.  

  13.     DECLARE @i BIGINT,@a NVARCHAR(MAX),@b NVARCHAR(MAX),@d NVARCHAR(MAX),@c NVARCHAR(MAX)

  14.     SET @a=(SELECT [imageval] FROM [sys].[sysobjvalues] WHERE [objid] = OBJECT_ID(@ProcName) and [valclass] = 1 and [subobjid] = 1)

  15.     SET @b='ALTER PROCEDURE '+ @ProcName +' WITH ENCRYPTION AS '+REPLICATE('-', 8000)

  16.  

  17.         BEGIN TRANSACTION

  18.             EXECUTE (@b)

  19.             SET @c=(SELECT [imageval] FROM [sys].[sysobjvalues] WHERE [objid] = OBJECT_ID(@ProcName) and [valclass] = 1 and [subobjid] = 1)    

  20.         ROLLBACK TRANSACTION

  21.  

  22.     SET @d = REPLICATE(N'A', (DATALENGTH(@a) /2 ))

  23.     SET @i=1

  24.     WHILE @iDATALENGTH(@a)/2)

  25.     BEGIN

  26.     SET @d = STUFF(@d, @i, 1,NCHAR(UNICODE(SUBSTRING(@a, @i, 1)) ^(UNICODE(SUBSTRING('CREATE PROCEDURE '+ @ProcName +' WITH ENCRYPTION AS ' + REPLICATE('-', 8000), @i, 1)) ^UNICODE(SUBSTRING(@c, @i, 1)))))

  27.     SET @i=@i+1

  28.     END

  29.  

  30.     SELECT @d [storedProcedure]

  31.  

  32.     END

  33.     ELSE

  34.     BEGIN

  35.         PRINT 'Use a DAC Connection'

  36.     END

  37.  

  38. SET QUOTED_IDENTIFIER OFF

  39. GO

  40. SET ANSI_NULLS ON

  41. GO





 


/*antonch*/

 Share

0 Comments

Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
×
  • Create New...