行级安全很适合于全有或全无决策，但有时候，用户需要访问数据的子集。例如，信用卡或者社会保险号的后四位。这可以在应用程序层面实现，但会留下犯错的空间。只要一次忘记屏蔽，就会导致敏感信息泄露。

SQL Server 2016试图通过一项名为“动态数据屏蔽”的特性解决这个问题。如果列在创建列时附加屏蔽，那么它默认只会返回透过屏蔽暴露出来的数据。当前，SQL Server提供了三种类型的屏蔽：

1.Default屏蔽会根据数据类型返回‘XXX’、0或‘01.01.2000 00:00:00.0000000’。

2.Email屏蔽会返回‘aXX@XXXX.com’，其中“a”是电子邮件地址的第一个字母，“com”为顶级域名。

3.Partial屏蔽返回前N个字母、像‘XXX-XX-XX’这样的常量表达式和最后N个字母。

拥有UNMASK全局权限，它可以为用户关闭所有的数据屏蔽。由于屏蔽可以通过类型转换消除，所以不应该将这项特性看作是安全特性。确切地说，它是一个可以与诸如加密敏感信息、不允许用户执行“动态查询（ad hoc queries）”这样的最佳实践结合使用的便利功能。

屏蔽可能导致ORM出现问题。如果ORM不支持按字段跟踪变化，那么它可能会在更新操作时用屏蔽值覆盖实际的值。

想要了解更多，请关注下方平台>>

新浪微博：@享和邑正版软件商城

公众微信：享和邑

下一篇：战神GX9同载win10和微软office2016

热门推荐：

SQL server 2012阻止保存重新创建表的更改

win server 2008 r2 激活步骤分享

剖析：微软是否会推出Android手机？

Windows10信息安全成疑，到底安全吗？