我们在Oracle存储过程中所包含的商业秘密，有时不愿意被第三方人员看到，可以通过对存储过程加密来实现。

有两种加密存储过程的方法：使用wrap工具或dbms_ddl包。下面我们分别介绍一下。

1. wrap工具

Wrap是Oracle所提供的操作系统级的命令，语法如下：

wrap iname=input_file  oname=output_file

参数iname为要加密的文件名，oname为加密后的文件名。如果省略oname，那么将会自动产生一个同名的加密文件名，且后缀为plb，其保存路径默认是在user下面。

我们来演示一下wrap工具的用法。首先创建一个名称为test1.sql的文件：

CREATE OR REPLACE FUNCTION get_date_string RETURN VARCHAR2 AS

BEGIN

RETURN TO_CHAR(SYSDATE, ‘DD-MON-YYYY’);

END get_date_string;

/

它保存在D盘根目录。现在我来将它加密：

D:\>dir test* 驱动器 D 中的卷是 D 卷的序列号是 15C2-D261

D:\ 的目录

2009-12-26 16:35               138 test1.sql

1 个文件            138 字节

0 个目录 2,052,046,848 可用字节

D:\>wrap iname=d:\test1.sql oname=d:\test1wrap

PL/SQL Wrapper: Release 10.2.0.1.0- Production on 星期六 12月 26 16:36:01 2009

Copyright (c) 1993, 2004, Oracle. All rights reserved.

Processing d:\test1.sql to test1.plb

看看加密后的文件test1wrap.plb中的内容：

CREATE OR REPLACE FUNCTION get_date_string wrapped

a000000

354

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

8

71 ae

P29RDhRZX0orO0ED/mMF8i12Glkwg8eZgcfLCNL+XlquYvSuoVah8JbRPpdHDOrnwLK9spte

58d0wDO4dGUJuHSLwMAy/tKGCamhAs7G1hohrO/WTHaEcTKOd0xx9RBzc/XvN2dM6+zZPXLp

r1UqFBwU/Sx2010pwUjXpqZCvywG

/

现在你可以把文件test1.plb发给客户使用了，而不必担心你的源代码的暴露。

这个工具使用起来很简单，也很方便，尤其可以批量生成存储过程的加密文件。

2. dbms_ddl包

从Oracle 10g Release 2开始，你可以使用DBMS_DDL包来动态加密存储过程。

如果你只想将写完的源代码进行加密，就像刚才我们讲到的wrap工具那样，你可以使用dbms_ddl.wrap函数；如果你想加密源代码并在数据库中创建它，那么你可以使用dbms_ddl.create_wrapped。

2.1 wrap

如果你不想创建这个过程，而只是想获得这个加密后的创建脚本，然后把脚本发给客户去执行，这可以使用函数dbms_ddl.wrap。它的功能和“wrap“工具相同。我们先看一下这个函数的定义：

FUNCTION wrap(ddl VARCHAR2) RETURN VARCHAR2;FUNCTION wrap(ddl dbms_sql.varchar2s, lb PLS_INTEGER, ub PLS_INTEGER) RETURN dbms_sql.varchar2s;

FUNCTION wrap(ddl dbms_sql.varchar2a, lb PLS_INTEGER, ub PLS_INTEGER)

RETURN dbms_sql.varchar2a;

它被重载了三次：第一个函数接收VARCHAR2类型的输入，后两个函数接收VARCHAR2集合的输入(允许大的DDL语句的输入)。

入参ddl要求语法为”create or replace…”的字符串，用以创建包、包体、类型、类型体、函数和过程的程序单元的DDL语句。如果入参ddl所定义的程序单元不能被加密，或存在语法错误，则将抛出“MALFORMED_WRAP_INPUT”异常。

入参lb为加密集合的最低元素，ub为加密集合的最高元素。

返回值即为加密后的代码。你可以将它写入一个文件中，或者存储在表中。

我们先使用第一个wrap函数实现一个简单的应用。我想获取如下过程加密后的代码：

create or replace procedure p2asbegin

dbms_output.put_line(’yuechaotian’);

end;

使用wrap函数来实现它：

SQL> select dbms_ddl.wrap(’create or replace procedure p2 as begin dbms_output.put_line(”yuechaotian”); end; ‘) 2    from dual;

DBMS_DDL.WRAP(’CREATEORREPLACEPROCEDUREP2ASBEGINDBMS_OUTPUT.PUT_LINE(”YUECHAOTIAN”);END;’)

—————————————————————————

create or replace procedure p2 wrapped

a000000

354

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

7

41 7d

ND2TI3IsThvViemtwIoHec7RMCMwg5nnm7+fMr2ywFwWfAm4dCu4wDL+0l64UpuySv4osr3n

srMdBjAsriTqsoGXJXddX9vk8UfbejIu9kTqJB/2RDmmF3HTZA==

所生成的密文，你可以直接拷贝过来在数据库中执行：

SQL> create or replace procedure p2 wrapped 2 a000000 3 354

4 abcd

5 abcd

6 abcd

7 abcd

8 abcd

9 abcd

10 abcd

11 abcd

12 abcd

13 abcd

14 abcd

15 abcd

16 abcd

17 abcd

18 abcd

19 7

20 41 7d

21 ND2TI3IsThvViemtwIoHec7RMCMwg5nnm7+fMr2ywFwWfAm4dCu4wDL+0l64UpuySv4osr3n

22 srMdBjAsriTqsoGXJXddX9vk8UfbejIu9kTqJB/2RDmmF3HTZA==

23 /

过程已创建。

SQL> exec p2

yuechaotian

PL/SQL 过程已成功完成。

你也可以把它保存到纯文本文件或表中，在以后执行。如果你生成的代码要在其它地方部署，并且必须要保证代码的安全性，则这种方法很有用。

注意，这里的源代码是以VARCHAR2类型传递给wrap函数的。因为VARCHAR2类型的长度有限制(32767字节)，对于很长的过程(比如一个2w行的包体)，就得使用另外两个重载的wrap函数了：

FUNCTION wrap(ddl dbms_sql.varchar2s, lb PLS_INTEGER, ub PLS_INTEGER) RETURN dbms_sql.varchar2s;FUNCTION wrap(ddl dbms_sql.varchar2a, lb PLS_INTEGER, ub PLS_INTEGER)

RETURN dbms_sql.varchar2a;

这里的输入输出使用联合数组(associative array)来实现。两者的不同在于类型dbms_sql.varchar2s限制为每行256字节，而类型dbms_sql.varchar2a为32767字节。我们举一个例子：

SET SERVEROUTPUT ON SIZE UNLIMITEDDECLARE l_source DBMS_SQL.VARCHAR2A;

l_wrap    DBMS_SQL.VARCHAR2A;

BEGIN

l_source(1) := ‘CREATE OR REPLACE FUNCTION get_date_string RETURN VARCHAR2 AS ‘;

l_source(2) := ‘BEGIN ‘;

l_source(3) := ‘RETURN TO_CHAR(SYSDATE, ”DD-MON-YYYY”); ‘;

l_source(4) := ‘END get_date_string;’;

l_wrap := SYS.DBMS_DDL.WRAP(ddl => l_source,

lb => 1,

ub => l_source.count);

FOR i IN 1 .. l_wrap.count LOOP

DBMS_OUTPUT.put_line(l_wrap(i));

END LOOP;

END;

/

CREATE OR REPLACE FUNCTION get_date_string wrapped

a000000

b2

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

8

6f

aa

mV4eMSJ8EqqgErJT91l6UZ0pdDUwgyr6LZ5GfHSmUPiJfkEObQpeDb6D7glajI+ONulxdqC1

0HvOPP4eJpQs5zxsKXpj6XL1

fvieXyWCr3BTzXTqcGYhfXrtqDVPztR/o+9UZ8l5OijDSsRW

ZPv6rISzFyqeEsCBweFUFyxd

PL/SQL procedure successfully completed.

2.2 create_wrapped

除了wrap函数外，在dbms_ddl包中还包括三个重载的create_wrapped过程：

PROCEDURE create_wrapped(ddl VARCHAR2);

PROCEDURE create_wrapped(ddl dbms_sql.varchar2s, lb PLS_INTEGER,

ub PLS_INTEGER);

PROCEDURE create_wrapped(ddl dbms_sql.varchar2a, lb PLS_INTEGER,

ub PLS_INTEGER);

它们拥有和wrap一样的入参和出参。使用方法也和wrap函数类似，不过要注意它们是过程(而不是函数)。

与函数wrap不同，过程create_wrapped不但加密源代码，而且还会在数据库中执行加密后的密文。我们先看一个例子，我要在数据库中以加密的方式创建这个过程：

create or replace procedure p1asbegin

dbms_output.put_line(’yuechaotian’);

end;

我可以借助过程dbms_ddl.create_wrapped：

SQL> begin 2 dbms_ddl.create_wrapped 3 (’create or replace procedure p1

4    as

5    begin

6      dbms_output.put_line(”yuechaotian”);

7    end;’);

8 end;

9 /

PL/SQL 过程已成功完成。

SQL> set serveroutput on

SQL> exec p1

yuechaotian

PL/SQL 过程已成功完成。

看看加密后的代码：

– 1. 从视图 user_source 中查询SQL> set pagesize 1000SQL> col text format a100

SQL> set line 2000

SQL> SELECT TEXT FROM user_source WHERE NAME = ‘P1′;

TEXT

————————————————————————–

procedure p1 wrapped

a000000

354

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

7

4a 81

aVtlrmIdKjyE1rQszxgCZ9Z7+YEwg5nnm7+fMr2ywFwWfF0Jabh0OdPc4rlBP2ejNa+V+nhX

GSQhFMohoijjhhB6c3Eqd9UMXreC004MZbZOdyo7N55Mc3HyiKbboLaf

– 2. 使用 get_ddl 查询

SQL> set long 10000

SQL> select dbms_metadata.get_ddl(’PROCEDURE’,'P1′) from dual;

DBMS_METADATA.GET_DDL(’PROCEDURE’,'P1′)

————————————————————————

CREATE OR REPLACE PROCEDURE “TEST”.”P1″ wrapped

a000000

354

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

abcd

7

4a 81

aVtlrmIdKjyE1rQszxgCZ9Z7+YEwg5nnm7+fMr2ywFwWfF0Jabh0OdPc4rlBP2ejNa+V+nhX

GSQhFMohoijjhhB6c3Eqd9UMXreC004MZbZOdyo7N55Mc3HYiKbboLaf

这样，你就在数据库中创建了一个加密源代码的存储过程。