PostgreSQL:如何隐藏存储过程

POSTGRESQL（以下简称PG）是功能强大的开源数据库，在*NUX下表现出色，性能不逊于ORACLE。更主要的是它提供源代码，而且可进行自行修改，用于商业目的。

PG的存储过程统一以函数形式存在，调用的时候用SELECT FUNCTION_NAME(ARG...) 或 SELECT OUT_ARG FROM FUNCTION_NAME(IN_ARG...)形式，而不是用CALL语句。PG的函数有各种接口，如C，SQL，PLPGSQL、PLJAVA等，其中PLPGSQL功能最强，应用最广泛。

PG的系统表PG_CATALOG.PG_PROC存储着所有函数(包括内置函数)的各种定义，其中PLPGSQL的函数体是以源代码的形式存在，并对任何用户可读。因为PG对FUNCTION的GRANT权限只有EXCUTE项，没有SELECT项，所以任何最低权限的用户都可读到PLPGSQL函数的源代码，即使它没有执行权限。这导致业务流程的泄露。

若要阻止未经授权的用户偷窥函数代码，必须取消PG_CATALOG.PG_PROC系统表的全可读权限，改为某个角色可读，注意可读权限和可执行权限是不相关的。

请用PG的超级权限(默认为POSTGRES)进入:

 REVOKE ALL  ON pg_catalog.pg_proc   FROM  PUBLIC

GRANT SELECT ON pg_catalog.pg_proc  TO  XXX    -- XXX为可读的角色

这将阻止未经授权的用户偷窥函数代码，但超级用户和授权用户还是可以看到的。假如你是业务系统的设计商，不想让客户看到你所设计的函数代码，那只有加密了，那PG又是如何解密的呢？只能通过修改数据库源代码，重新定制数据库才能解决，