一、概述

使用sqlite3的免费版本是不支持加密的。为了能使用上加密sqlite3,有一个免费的开源项目sqlcipher提供了免费和付费的加密sqlite功能。我们当然选择免费的版本啦。

官方网站: https://www.zetetic.net/sqlcipher/open-source/

文档目录: https://www.zetetic.net/sqlcipher/documentation/

设计简介: https://www.zetetic.net/sqlcipher/design/

API文档: https://www.zetetic.net/sqlcipher/sqlcipher-api/

源码下载 git clone https://github.com/sqlcipher/sqlcipher.git

如何编译 查看源码的README.md 的编译过程。

二、实际编译

2.1 编译脚本

我们使用的目标板是aarch64(arm64)的linux环境,我们的查看一下我们的编译环境。编译环境如下:

$ env | grep aarch

CXX=aarch64-linux-gnu-g++

LD=aarch64-linux-gnu-ld

AR=aarch64-linux-gnu-ar

NM=aarch64-linux-gnu-nm

PATH=/home/xx/.local/bin:/usr/local/openresty/nginx/sbin:/usr/local/openresty/bin:/usr/local/node-v18.16.0-linux-x64/bin:/home/xx/workspace/toolchain/go/bin:/home/xx/.cargo/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin:/snap/bin:/usr/local/openresty/nginx/sbin:/home/xx/workspace/toolchain/gcc-arm-8.3-2019.03-x86_64-aarch64-linux-gnu/bin:/home/xx/sonar_tools/sonar-scanner-4.7.0.2747-linux/bin:/home/xx/sonar_tools/build-wrapper-linux-x86

CC=aarch64-linux-gnu-gcc

CROSS_COMPILE=/home/xx/workspace/rk3568-git/rk_hal/src/rk3568/prebuilts/gcc/linux-x86/aarch64/gcc-linaro-6.3.1-2017.05-x86_64_aarch64-linux-gnu/bin/aarch64-linux-gnu-

下面是交叉编译的脚本如下:

# cat build.sh

export AARCH64_SYSROOT=/your/aarch64/sysroot_path

./configure --enable-tempstore=yes --host aarch64 CFLAGS="-DSQLITE_HAS_CODEC --sysroot=$AARCH64_SYSROOT" LDFLAGS="-lcrypto --sysroot=$AARCH64_SYSROOT" --prefix=$AARCH64_SYSROOT/usr/local

unset AARCH64_SYSROOT

2.2 编译和安装

make

编译生成了./.libs/libsqlcipher.a 库,是一个静态库。应该也能生成动态库。

make install

安装了头文件和库

include

└── sqlcipher

├── sqlite3ext.h

└── sqlite3.h

bin

└── sqlcipher

三、实际使用

3.1 应用代码编写与编译

在使用过程中和sqlite3原生的api一样使用。 在应用代码中,去掉原生的sqlite3.h头文件,包含sqlcipher/sqlite3.h和 sqlcipher/sqlite3ext.h头文件。你会发现原生头文件和sqlcipher的防止重复包含宏定义相同,所以一定要去掉原生的有文件。 在应用代码的编译中,Makefile加入编译选项CFLAGS += -DSQLITE_CORE=1 -DSQLITE_HAS_CODEC=1。不加就会报错identifier “sqlite3_api” is undefined。 在链接阶段链接-lcrypto -lsqlcipher。无需再 链接-lsqlite3。

3.2 设置密码

int sqlite3_key(sqlite3 *db, const void *pKey, int nKey);

上述函数等价于sqlite语句PRAGMA key = 'passphrase';

3.3 修改密码

sqlite3_rekey(sqlite3 *db, const void *pKey, int nKey);

上述函数等价于PRAGMA rekey = 'new-passphrase';

修改密码的流程一般是先输入旧的密码然后修改新密码。先sqlite3_key 然后sqlite3_rekey。等价于下面sqlite操作。

PRAGMA key = 'passphrase'; -- start with the existing database passphrase

PRAGMA rekey = 'new-passphrase'; -- rekey will reencrypt with the new passphrase

验证:对于之前没有密码的数据库可以字节rekey吗?

3.4 使用sqlcipher打开加密数据库

sqlcipher

.open file.db

PRAGMA key = 'passphrase'

成功示例:

# sqlcipher file.db

SQLite version 3.41.2 2023-03-22 11:56:21 (SQLCipher 4.5.4 community)

Enter ".help" for usage hints.

sqlite> PRAGMA key = '123456';

ok

sqlite> select * from sqlite_master;

失败示例:

# sqlcipher

SQLite version 3.41.2 2023-03-22 11:56:21 (SQLCipher 4.5.4 community)

Enter ".help" for usage hints.

Connected to a transient in-memory database.

Use ".open FILENAME" to reopen on a persistent database.

sqlite> .open file.db

sqlite> PRAGMA key = '123456adss';

ok

sqlite> select * from sqlite_master;

Parse error: file is not a database (26)

sqlite> .q

如果未加密的数据库可以直接使用selelct访问sqlite_master表,加密的数据库访问时,会报错。未加密的数据库,使用原生的sqlite3工具也能打开,加密的 数据库使用sqlite3打开后设置密码无反应ok,select访问报错file is not a database。

3.5 sqlchiper 数据库备份

调用backup = sqlite3_backup_init(new_db, “main”, dbh->db, “main”)时报错了。报错如下: sqlite3 backup init error, backup is not supported with encrypted databases。看来加密数据库不支持这样的备份API。

在API中找到了一个这个函数,用来进行加密和非加密之间复制和拷贝。 SQLCipher用法注意:

如果当前数据库是明文数据库,SQLCipher不会加密。如果当前数据库已加密,且pNew0或nNew0,则SQLCipher不会解密。这个例程仅适用于已经加密的数据库,以便更改密钥。 根据SQLCipher文档,从明文到加密或加密到明文的转换应该使用附加的数据库和sqlcipher_export()方便函数。

sqlcipher_export() 函数 sqlcipher_export是一个方便的函数,它将主数据库的全部内容复制到附加数据库,包括架构、触发器、虚拟表和所有数据。它的主要功能是可以轻松地从非加密数据库迁移到加密数据库, 从加密数据库迁移到非加密数据库,或者在 SQLCipher 支持的加密数据库的各种选项之间迁移。有关此主题的其他信息和讨论,请参阅这篇关于如何使用 SQLCipher 加密明文数据库的帖子

Example 1: Encrypt a Plaintext Database

$ ./sqlcipher plaintext.db

sqlite> ATTACH DATABASE 'encrypted.db' AS encrypted KEY 'testkey';

sqlite> SELECT sqlcipher_export('encrypted');

sqlite> DETACH DATABASE encrypted;

Example 2: Decrypt a SQLCipher database to a Plaintext Database

$ ./sqlcipher encrypted.db

sqlite> PRAGMA key = 'testkey';

sqlite> ATTACH DATABASE 'plaintext.db' AS plaintext KEY ''; -- empty key will disable encryption

sqlite> SELECT sqlcipher_export('plaintext');

sqlite> DETACH DATABASE plaintext;

Example 3: Convert from a 3.x to 4.x Database

$ ./sqlcipher 1.1.x.db

sqlite> PRAGMA key = 'testkey';

sqlite> PRAGMA cipher_page_size = 1024;

sqlite> PRAGMA kdf_iter = 64000;

sqlite> PRAGMA cipher_hmac_algorithm = HMAC_SHA1;

sqlite> PRAGMA cipher_kdf_algorithm = PBKDF2_HMAC_SHA1;

sqlite> ATTACH DATABASE 'sqlcipher-4.db' AS sqlcipher4 KEY 'testkey';

sqlite> SELECT sqlcipher_export('sqlcipher4');

sqlite> DETACH DATABASE sqlcipher4;

Example 4: Changing Cipher Settings

$ ./sqlcipher encrypted.db

sqlite> PRAGMA key = 'testkey';

sqlite> ATTACH DATABASE 'newdb.db' AS newdb KEY 'newkey';

sqlite> PRAGMA newdb.cipher_page_size = 4096;

sqlite> PRAGMA newdb.cipher = 'aes-256-cfb';

sqlite> PRAGMA newdb.kdf_iter = 10000;

sqlite> SELECT sqlcipher_export('newdb');

sqlite> DETACH DATABASE newdb;

Example 5: Copying an attached plaintext database to a new empty encrypted main database

$ ./sqlcipher encrypted.db

sqlite> PRAGMA key = 'testkey';

sqlite> ATTACH DATABASE 'plain.db' AS plain KEY '';

sqlite> SELECT sqlcipher_export('main', 'plain');

sqlite> DETACH DATABASE plain;

精彩文章

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: