MySQL 脱敏函数使用详解：保护数据隐私的关键手段

全文目录：

• • 前言
  • 前言
  • 为什么需要数据脱敏？
  • [MySQL 中常用的脱敏方法](#MySQL 中常用的脱敏方法)
  • • [1. 字符串类型数据的脱敏](#1. 字符串类型数据的脱敏)
    • • 案例：脱敏姓名
      • 案例：脱敏邮箱
    • [2. 数字类型数据的脱敏](#2. 数字类型数据的脱敏)
    • • 案例：脱敏手机号
      • 案例：脱敏身份证号
    • [3. 自定义脱敏函数](#3. 自定义脱敏函数)
    • • 自定义姓名脱敏函数
      • 自定义身份证号脱敏函数
  • 拓展应用：基于业务场景的脱敏
  • • [1. 动态脱敏策略](#1. 动态脱敏策略)
    • • 案例：根据角色进行脱敏
    • [2. 脱敏与日志审计](#2. 脱敏与日志审计)
    • [3. 测试环境中的脱敏处理](#3. 测试环境中的脱敏处理)
  • 总结
  • 文末

前言

哈喽，各位小伙伴们，你们好呀，我是喵手。运营社区：C站/掘金/腾讯云/阿里云/华为云/51CTO；欢迎大家常来逛逛

今天我要给大家分享一些自己日常学习到的一些知识点，并以文字的形式跟大家一起交流，互相学习，一个人虽可以走的更快，但一群人可以走的更远。

我是一名后端开发爱好者，工作日常接触到最多的就是Java语言啦，所以我都尽量抽业余时间把自己所学到所会的，通过文章的形式进行输出，希望以这种方式帮助到更多的初学者或者想入门的小伙伴们，同时也能对自己的技术进行沉淀，加以复盘，查缺补漏。

小伙伴们在批阅的过程中，如果觉得文章不错，欢迎点赞、收藏、关注哦。三连即是对作者我写作道路上最好的鼓励与支持！

前言

在现代数据管理中，数据安全和隐私保护已成为企业和开发者必须重视的核心问题。为了避免敏感数据的泄露，数据脱敏（Data Masking）作为一种常见的数据安全技术，通过对敏感数据进行部分隐藏或模糊处理，确保其在测试、开发和非生产环境中的安全性。

MySQL 作为最流行的关系型数据库之一，虽然没有内置专门的数据脱敏函数，但我们可以通过 SQL 函数和表达式来实现有效的数据脱敏。本文将详细讲解如何在 MySQL 中使用函数实现数据脱敏，并结合实际案例，展示如何灵活使用这些技术手段保护敏感信息。

为什么需要数据脱敏？

在日常业务中，特别是涉及个人隐私、财务、医疗等敏感信息的数据表，数据泄露的风险可能会带来无法估量的损失。开发、测试和分析数据时，通常不需要暴露完整的用户信息，而只需保留部分信息进行逻辑验证。此时，数据脱敏就显得尤为重要。

数据脱敏的主要目标包括：

• 保护隐私：隐藏或模糊化敏感信息，如姓名、身份证号、手机号、银行卡号等。
• 遵守法规：如 GDPR（通用数据保护条例）等法规对个人数据的使用有严格的要求。
• 数据安全：防止未经授权的用户查看敏感数据，减少数据泄露的可能性。

MySQL 中常用的脱敏方法

尽管 MySQL 没有直接提供脱敏函数，但可以通过一些内置函数和表达式来实现数据脱敏。常用的函数包括 SUBSTRING()、REPEAT()、CONCAT() 和 LPAD() 等。这些函数可以帮助我们部分隐藏敏感数据或将其替换为固定字符，从而达到脱敏效果。

1. 字符串类型数据的脱敏

对于涉及姓名、邮箱、地址等字符串类型的数据，常用的脱敏方式是将一部分字符隐藏，保留部分用于识别。

案例：脱敏姓名

假设我们有一个包含用户姓名的表 users，结构如下：

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(50),
    email VARCHAR(100)
);

我们想要实现将姓名的第二个字以 * 代替：

SELECT
    id,
    CONCAT(LEFT(name, 1), REPEAT('*', CHAR_LENGTH(name) - 1)) AS masked_name
FROM users;

解释：

• LEFT(name, 1)：取用户姓名的第一个字符。
• REPEAT('*', CHAR_LENGTH(name) - 1)：将剩余的字符用 * 替代。

案例：脱敏邮箱

对于邮箱地址，我们可以部分隐藏用户名，只展示前两位字符和域名部分：

SELECT
    id,
    CONCAT(LEFT(email, 2), REPEAT('*', LOCATE('@', email) - 3), SUBSTRING(email, LOCATE('@', email))) AS masked_email
FROM users;

解释：

• LEFT(email, 2)：获取邮箱前两位字符。
• REPEAT('*', LOCATE('@', email) - 3)：根据 @ 符号的位置，将中间的字符替换为 *。
• SUBSTRING(email, LOCATE('@', email))：保留 @ 及其后面的域名部分。

2. 数字类型数据的脱敏

对于手机号、身份证号、银行卡号等数字类型数据，可以通过隐藏中间部分数字进行脱敏。

案例：脱敏手机号

假设我们有一个包含用户手机号的表 contacts，结构如下：

CREATE TABLE contacts (
    id INT AUTO_INCREMENT PRIMARY KEY,
    phone VARCHAR(15)
);

我们可以将手机号的中间四位用 * 替代，只显示前 3 位和最后 4 位：

SELECT
    id,
    CONCAT(LEFT(phone, 3), REPEAT('*', 4), RIGHT(phone, 4)) AS masked_phone
FROM contacts;

解释：

• LEFT(phone, 3)：获取手机号的前三位。
• REPEAT('*', 4)：将中间四位替换为 *。
• RIGHT(phone, 4)：保留手机号的后四位。

案例：脱敏身份证号

类似的，脱敏身份证号时我们可以将中间 8 位数字替换为 *，只保留前 6 位和后 4 位：

SELECT
    id,
    CONCAT(LEFT(id_card, 6), REPEAT('*', 8), RIGHT(id_card, 4)) AS masked_id_card
FROM users;

3. 自定义脱敏函数

MySQL 允许我们创建存储函数，可以根据实际需求自定义脱敏逻辑。这在处理复杂数据脱敏场景时非常有用。

自定义姓名脱敏函数

我们可以创建一个存储函数，用于处理姓名脱敏：

DELIMITER //

CREATE FUNCTION mask_name(input_name VARCHAR(50))
RETURNS VARCHAR(50)
BEGIN
    RETURN CONCAT(LEFT(input_name, 1), REPEAT('*', CHAR_LENGTH(input_name) - 1));
END //

DELIMITER ;

使用该函数时，我们只需简单调用它：

SELECT id, mask_name(name) AS masked_name FROM users;

自定义身份证号脱敏函数

为了复用身份证号的脱敏逻辑，也可以创建如下存储函数：

DELIMITER //

CREATE FUNCTION mask_id_card(input_id_card VARCHAR(18))
RETURNS VARCHAR(18)
BEGIN
    RETURN CONCAT(LEFT(input_id_card, 6), REPEAT('*', 8), RIGHT(input_id_card, 4));
END //

DELIMITER ;

使用该函数脱敏身份证号：

SELECT id, mask_id_card(id_card) AS masked_id_card FROM users;

通过存储函数的方式，我们可以将常用的脱敏逻辑封装起来，简化日常开发和数据脱敏操作。

拓展应用：基于业务场景的脱敏

不同业务场景下，数据脱敏的需求和策略可能有所不同。我们可以根据实际业务需求对脱敏规则进行灵活调整，以确保既能满足数据安全的要求，又能兼顾数据可读性和业务需求。

1. 动态脱敏策略

在某些场景下，不同用户角色对数据的访问权限不同。比如管理员可以查看完整信息，而普通用户只能看到脱敏后的数据。此时我们可以通过动态脱敏策略，根据用户角色动态调整脱敏级别。

案例：根据角色进行脱敏

假设我们有一个包含用户角色的表 users，角色可以是 admin 或 user。我们希望根据角色不同来展示不同级别的脱敏信息：

SELECT
    id,
    IF(role = 'admin', name, CONCAT(LEFT(name, 1), REPEAT('*', CHAR_LENGTH(name) - 1))) AS display_name,
    IF(role = 'admin', email, CONCAT(LEFT(email, 2), REPEAT('*', LOCATE('@', email) - 3), SUBSTRING(email, LOCATE('@', email)))) AS display_email
FROM users;

通过 IF 函数，我们可以根据用户的角色动态决定是否进行脱敏。

2. 脱敏与日志审计

在生产环境中，敏感数据的处理不仅限于查询，还涉及到日志记录和审计。为了确保数据安全，我们可以在记录日志时对敏感信息进行脱敏，从而避免日志泄露用户隐私。

-- 在记录日志时使用脱敏数据
INSERT INTO log_table (user_id, action, masked_email)
SELECT id, 'query', CONCAT(LEFT(email, 2), REPEAT('*', LOCATE('@', email) - 3), SUBSTRING(email, LOCATE('@', email)))
FROM users
WHERE id = 123;

这种方式确保日志记录中没有暴露用户的敏感信息。

3. 测试环境中的脱敏处理

在开发和测试环境中，往往需要使用生产数据进行测试。然而，直接使用生产环境中的敏感数据存在较大的数据泄露风险。因此，数据脱敏技术在测试环境中尤为重要。

可以通过批量更新数据的方式，对敏感数据进行脱敏处理：

UPDATE users
SET email = CONCAT(LEFT(email, 2), REPEAT('*', LOCATE('@', email) - 3), SUBSTRING(email, LOCATE('@', email)));

这种处理方式确保了在测试和开发过程中，数据脱敏后的信息不会泄露给无关人员。

总结

MySQL 虽然没有内置的专用脱敏函数，但通过组合 SQL 函数和表达式，我们可以轻松实现数据脱敏。对于常见的字符串和数字类型数据，如姓名、邮箱、手机号、

身份证号等，本文展示了几种常用的脱敏方法，并提供了自定义存储函数来简化操作。此外，我们还探讨了如何基于业务场景灵活应用脱敏技术，确保数据安全和业务需求的平衡。

在实际项目中，数据安全至关重要。通过有效地管理和应用脱敏策略，开发者不仅可以保护敏感信息的安全，还能够确保应用程序在开发、测试和生产中的稳定运行。

... ...

文末

好啦，以上就是我这期的全部内容，如果有任何疑问，欢迎下方留言哦，咱们下期见。

... ...

学习不分先后，知识不分多少；事无巨细，当以虚心求教；三人行，必有我师焉！！！

wished for you successed ！！！

---

⭐️若喜欢我，就请关注我叭。

⭐️若对您有用，就请点赞叭。

⭐️若有疑问，就请评论留言告诉我叭。