3

我目前正在使用knex将我的 node.js 服务器连接到postgres数据库,并且我已经开始使用pgcrypto它来加密我的一些数据。我在加密数据方面有点晚了,所以我有几个查询需要更新,并且正在寻找最有效的方法,不仅可以交换我的查询,还可以实际查询数据库。当我尝试PGP_SYM_DECRYPT直接在knex.select()查询中实现时,我收到一条错误消息,提示找不到用户。但是,如果我使用knex.raw()查询,我可以让它工作。有什么方法可以使用查询PGG_SYM_DECRYPT内部.select(),或者可能有一种方法可以在查询旁边传递密钥,以便自动解密任何加密列?

示例工作代码:

const user = await knex("n_user AS u")
  .where({
    "u.uuid": uuid,
    "su.site_id": site.id
  })
  .first()
  .join("site_has_user AS su", { "su.user_id": "u.id" })
  .select(
    "u.id",
    "u.uuid",
    "u.mobile_number",
    "u.email",
    "u.first_name",
    "u.last_name",
    "u.department",
    // "u.note", the note is the encrypted data
    "u.disabled",
    "su.role"
  )
.select(
  knex.raw(
    `PGP_SYM_DECRYPT(u.note::bytea, '${process.env.SECRET_KEY}') as note`
  )
);

示例 DESIRED 代码(或其他一些变体):

const user = await knex("n_user AS u")
  .where({
    "u.uuid": uuid,
    "su.site_id": site.id
  })
  .first()
  .join("site_has_user AS su", { "su.user_id": "u.id" })
  .select(
    "u.id",
    "u.uuid",
    "u.mobile_number",
    "u.email",
    "u.first_name",
    "u.last_name",
    "u.department",
    `PGP_SYM_DECRYPT(u.note::bytea, '${process.env.SECRET_KEY}') as note`,
    "u.disabled",
    "su.role"
  );

有什么想法吗?

4

1 回答 1

2

您可以像这样在 select 中添加原始代码段:

  .select(
    "u.id",
    "u.uuid",
    "u.mobile_number",
    "u.email",
    "u.first_name",
    "u.last_name",
    "u.department",
    knex.raw("PGP_SYM_DECRYPT(??::bytea, ?) as note", ['u.note', process.env.SECRET_KEY]),
    "u.disabled",
    "su.role"
  );

在原始语法??中是标识符替换并且?是值绑定,因此密钥作为绑定安全地传递给驱动程序,而无需尝试将其直接插入 SQL 字符串。

于 2021-01-06T12:34:48.073 回答