很多朋友询问如何加密Postgresql的存储过程，做了一个简单示例。目前考虑，一种加密方式是使用C语言编译成库文件，缺点是维护起来比较麻烦，优点是速度非常快。另一种是将存储过程以密文存储，使 pg_proc系统表中的 prosrc 不可读，编写起来比较麻烦，好处是一劳永逸。

密文存储过程也可以有两种实现方式，一种是创建函数时将函数转换成密文，这种方式如果不修改内核，无法直接在创建时生成，好在作为开源软件的一大好处，这个我们是可以做到的，本次不对此进行讨论。另一种使用外部程序在创建之前将代码转换成密文，然后正常使用CREATE FUNCTION创建，这个需要做的是创建一个新的过程语言引擎。

EnterpriseDB已经有类似实现：
http://www.enterprisedb.com/docs/en/9.0/oracompat/Postgres_Plus_Advanced_Server_Oracle_Compatibility_Guide-195.htm

Oracle的实现：
http://docs.oracle.com/cd/B28359_01/appdev.111/b28370/wrap.htm

我的实现是很简陋的，只能算程序可行性证明，如果想用在生产环境，还需要更多增强：
1、加密只是简单的字母调换，只支持ASCII码；
2、密文是一次性转换并保存在内存中，容易通过其它方式读出来。如果改成流加密，一边解密一边编译，把编译过的部分清掉，还能提高安全性；
3、报错信息没有修改，如果有编译错误，报错时会把一些源代码带出来；
4、只能加密函数体部分，全部转换需要修改内核语法解析部分（就像EDB所做的）；
5、没有准备Windows平台，只有Linux；

源代码代码下载链接：
http://url.cn/M1ka7U
由前几天的git分支改写，包含PL/pgsql源代码目录用来做比较。

1、pl_wrap srcfile [outfile]
srcfile里只包含函数体部分，输出加密后的密文
2、创建存储过程语言模板
INSERT INTO pg_pltemplate values('plpgwrappedsql',true,
'plpgwrappedsql_call_handler',null,'plpgwrappedsql_validator','$libdir/plpgwrappedsql',null);
3、创建过程语言
CREATE LANGUAGEplpgwrappedsql;
4、创建函数
CREATE FUNCTION func_name() RETURNS type AS
$$
<<密文过程>>
$$
LANGUAGEplpgwrappedsql;