前言
何为PostgreSQL?
PostgreSQL简史
格式约定
更多信息
臭虫汇报指导
I. 教程
章1. 从头开始
1.1. 安装
1.2. 体系基本概念
1.3. 创建一个数据库
1.4. 访问数据库
章2. SQL语言
2.1. 介绍
2.2. 概念
2.3. 创建新表
2.4. 向表中添加行
2.5. 查询一个表
2.6. 表间链接
2.7. 聚集函数
2.8. 更新
2.9. 删除
章3. 高级特性
3.1. 介绍
3.2. 视图
3.3. 外键
3.4. 事务
3.5. 窗口函数
3.6. 继承
3.7. 结论
II. SQL语言
章4. SQL语法
4.1. 词法结构
4.2. 值表达式
4.3. 调用函数
章5. 数据定义
5.1. 表的基本概念
5.2. 缺省值
5.3. 约束
5.4. 系统字段
5.5. 修改表
5.6. 权限
5.7. 模式
5.8. 继承
5.9. 分区
5.10. 其它数据库对象
5.11. 依赖性跟踪
章 6. 数据操作
6.1. 插入数据
6.2. 更新数据
6.3. 删除数据
章7. 查询
7.1. 概述
7.2. 表表达式
7.3. 选择列表
7.4. 组合查询
7.5. 行排序
7.6. LIMIT和OFFSET
7.7. VALUES列表
7.8. WITH的查询(公用表表达式)
章8. 数据类型
8.1. 数值类型
8.2. 货币类型
8.3. 字符类型
8.4. 二进制数据类型
8.5. 日期/时间类型
8.6. 布尔类型
8.7. 枚举类型
8.8. 几何类型
8.9. 网络地址类型
8.10. 位串类型
8.11. 文本搜索类型
8.12. UUID类型
8.13. XML类型
8.14. 数组
8.15. 复合类型
8.16. 对象标识符类型
8.17. 伪类型
章 9. 函数和操作符
9.1. 逻辑操作符
9.2. 比较操作符
9.3. 数学函数和操作符
9.4. 字符串函数和操作符
9.5. 二进制字符串函数和操作符
9.6. 位串函数和操作符
9.7. 模式匹配
9.8. 数据类型格式化函数
9.9. 时间/日期函数和操作符
9.10. 支持枚举函数
9.11. 几何函数和操作符
9.12. 网络地址函数和操作符
9.13. 文本检索函数和操作符
9.14. XML函数
9.15. 序列操作函数
9.16. 条件表达式
9.17. 数组函数和操作符
9.18. 聚合函数
9.19. 窗口函数
9.20. 子查询表达式
9.21. 行和数组比较
9.22. 返回集合的函数
9.23. 系统信息函数
9.24. 系统管理函数
9.25. 触发器函数
章10. 类型转换
10.3. 函数
10.2. 操作符
10.1. 概述
10.4. 值存储
10.5. UNION
章11. 索引
11.1. 介绍
11.2. 索引类型
11.3. 多字段索引
11.4. 索引和ORDER BY
11.5. 组合多个索引
11.6. 唯一索引
11.7. 表达式上的索引
11.8. 部分索引
11.9. 操作类和操作簇
11.10. 检查索引的使用
章12. Full Text Search
12.1. Introduction
12.2. Tables and Indexes
12.3. Controlling Text Search
12.4. Additional Features
12.5. Parsers
12.6. Dictionaries
12.7. Configuration Example
12.8. Testing and Debugging Text Search
12.9. GiST and GIN Index Types
12.10. psql Support
12.11. Limitations
12.12. Migration from Pre-8.3 Text Search
章13. 并发控制
13.1. 介绍
13.2. 事务隔离
13.3. 明确锁定
13.4. 应用层数据完整性检查
13.5. 锁和索引
章14. 性能提升技巧
14.1. 使用EXPLAIN
14.2. 规划器使用的统计信息
14.3. 用明确的JOIN语句控制规划器
14.4. 向数据库中添加记录
14.5. 非持久性设置
III. 服务器管理
章15. 安装指导
15.1. 简版
15.2. 要求
15.3. 获取源码
15.4. 升级
15.5. 安装过程
15.6. 安装后的设置
15.7. 支持的平台
15.8. 特殊平台的要求
章16. Installation from Source Code on Windows
16.1. Building with Visual C++ or the Platform SDK
16.2. Building libpq with Visual C++ or Borland C++
章17. 服务器安装和操作
17.1. PostgreSQL用户帐户
17.2. 创建数据库集群
17.3. 启动数据库服务器
17.4. 管理内核资源
17.5. 关闭服务
17.6. 防止服务器欺骗
17.7. 加密选项
17.8. 用SSL进行安全的TCP/IP连接
17.9. Secure TCP/IP Connections with SSH Tunnels
章18. 服务器配置
18.1. 设置参数
18.2. 文件位置
18.3. 连接和认证
18.4. 资源消耗
18.5. 预写式日志
18.6. 查询规划
18.7. 错误报告和日志
18.8. 运行时统计
18.9. 自动清理
18.10. 客户端连接缺省
18.12. 版本和平台兼容性
18.11. 锁管理
18.13. 预置选项
18.14. 自定义的选项
18.15. 开发人员选项
18.16. 短选项
章19. 用户认证
19.1. pg_hba.conf 文件
19.2. 用户名映射
19.3. 认证方法
19.4. 用户认证
章20. 数据库角色和权限
20.1. 数据库角色
20.2. 角色属性
20.3. 权限
20.4. 角色成员
20.5. 函数和触发器
章21. 管理数据库
21.1. 概述
21.2. 创建一个数据库
21.3. 临时库
21.4. 数据库配置
21.5. 删除数据库
21.6. 表空间
章22. 本土化
22.1. 区域支持
22.2. 字符集支持
章23. 日常数据库维护工作
23.1. Routine Vacuuming日常清理
23.2. 经常重建索引
23.3. 日志文件维护
章24. 备份和恢复
24.1. SQL转储
24.2. 文件系统级别的备份
24.3. 在线备份以及即时恢复(PITR)
24.4. 版本间迁移
章25. 高可用性与负载均衡,复制
25.1. 不同解决方案的比较
25.2. 日志传送备份服务器
25.3. 失效切换
25.4. 日志传送的替代方法
25.5. 热备
章26. 恢复配置
26.1. 归档恢复设置
26.2. 恢复目标设置
26.3. 备服务器设置
章27. 监控数据库的活动
27.1. 标准Unix工具
27.2. 统计收集器
27.3. 查看锁
27.4. 动态跟踪
章28. 监控磁盘使用情况
28.1. 判断磁盘的使用量
28.2. 磁盘满导致的失效
章29. 可靠性和预写式日志
29.1. 可靠性
29.2. 预写式日志(WAL)
29.3. 异步提交
29.4. WAL配置
29.5. WAL内部
章30. Regression Tests
30.1. Running the Tests
30.2. Test Evaluation
30.3. Variant Comparison Files
30.4. Test Coverage Examination
IV. 客户端接口
章31. libpq-C库
31.1. 数据库联接函数
31.2. 连接状态函数
31.3. 命令执行函数
31.4. 异步命令处理
31.5. 取消正在处理的查询
31.6. 捷径接口
31.7. 异步通知
31.8. 与COPY命令相关的函数
31.9. Control Functions 控制函数
31.10. 其他函数
31.11. 注意信息处理
31.12. 事件系统
31.13. 环境变量
31.14. 口令文件
31.15. 连接服务的文件
31.16. LDAP查找连接参数
31.17. SSL支持
31.18. 在多线程程序里的行为
31.19. 制作libpq程序
31.20. 例子程序
章32. 大对象
32.1. 介绍
32.2. 实现特点
32.3. 客户端接口
32.4. 服务器端函数
32.5. 例子程序
章33. ECPG - Embedded SQL in C
33.1. The Concept
33.2. Connecting to the Database Server
33.3. Closing a Connection
33.4. Running SQL Commands
33.5. Choosing a Connection
33.6. Using Host Variables
33.7. Dynamic SQL
33.8. pgtypes library
33.9. Using Descriptor Areas
33.10. Informix compatibility mode
33.11. Error Handling
33.12. Preprocessor directives
33.13. Processing Embedded SQL Programs
33.14. Library Functions
33.15. Internals
章34. 信息模式
34.1. 关于这个模式
34.2. 数据类型
34.3. information_schema_catalog_name
34.4. administrable_role_authorizations
34.5. applicable_roles
34.6. attributes
34.7. check_constraint_routine_usage
34.8. check_constraints
34.9. column_domain_usage
34.10. column_privileges
34.11. column_udt_usage
34.12. 字段
34.13. constraint_column_usage
34.14. constraint_table_usage
34.15. data_type_privileges
34.16. domain_constraints
34.18. domains
34.17. domain_udt_usage
34.19. element_types
34.20. enabled_roles
34.21. foreign_data_wrapper_options
34.22. foreign_data_wrappers
34.23. foreign_server_options
34.24. foreign_servers
34.25. key_column_usage
34.26. parameters
34.27. referential_constraints
34.28. role_column_grants
34.29. role_routine_grants
34.30. role_table_grants
34.31. role_usage_grants
34.32. routine_privileges
34.33. routines
34.34. schemata
34.35. sequences
34.36. sql_features
34.37. sql_implementation_info
34.38. sql_languages
34.39. sql_packages
34.40. sql_parts
34.41. sql_sizing
34.42. sql_sizing_profiles
34.43. table_constraints
34.44. table_privileges
34.45. tables
34.46. triggered_update_columns
34.47. 触发器
34.48. usage_privileges
34.49. user_mapping_options
34.50. user_mappings
34.51. view_column_usage
34.52. view_routine_usage
34.53. view_table_usage
34.54. 视图
V. 服务器端编程
章35. 扩展SQL
35.1. 扩展性是如何实现的
35.2. PostgreSQL类型系统
35.3. User-Defined Functions
35.4. Query Language (SQL) Functions
35.5. Function Overloading
35.6. Function Volatility Categories
35.7. Procedural Language Functions
35.8. Internal Functions
35.9. C-Language Functions
35.10. User-Defined Aggregates
35.11. User-Defined Types
35.12. User-Defined Operators
35.13. Operator Optimization Information
35.14. Interfacing Extensions To Indexes
35.15. 用C++扩展
章36. 触发器
36.1. 触发器行为概述
36.3. 用 C 写触发器
36.2. 数据改变的可视性
36.4. 一个完整的例子
章37. 规则系统
37.1. The Query Tree
37.2. 视图和规则系统
37.3. 在INSERT,UPDATE和DELETE上的规则
37.4. 规则和权限
37.5. 规则和命令状态
37.6. 规则与触发器得比较
章38. Procedural Languages
38.1. Installing Procedural Languages
章39. PL/pgSQL - SQL过程语言
39.1. 概述
39.2. PL/pgSQL的结构
39.3. 声明
39.4. 表达式
39.5. 基本语句
39.6. 控制结构
39.7. 游标
39.8. 错误和消息
39.9. 触发器过程
39.10. PL/pgSQL Under the Hood
39.11. 开发PL/pgSQL的一些提示
39.12. 从OraclePL/SQL 进行移植
章40. PL/Tcl - Tcl Procedural Language
40.1. Overview
40.2. PL/Tcl Functions and Arguments
40.3. Data Values in PL/Tcl
40.4. Global Data in PL/Tcl
40.5. Database Access from PL/Tcl
40.6. Trigger Procedures in PL/Tcl
40.7. Modules and the unknown command
40.8. Tcl Procedure Names
章41. PL/Perl - Perl Procedural Language
41.1. PL/Perl Functions and Arguments
41.2. Data Values in PL/Perl
41.3. Built-in Functions
41.4. Global Values in PL/Perl
41.6. PL/Perl Triggers
41.5. Trusted and Untrusted PL/Perl
41.7. PL/Perl Under the Hood
章42. PL/Python - Python Procedural Language
42.1. Python 2 vs. Python 3
42.2. PL/Python Functions
42.3. Data Values
42.4. Sharing Data
42.5. Anonymous Code Blocks
42.6. Trigger Functions
42.7. Database Access
42.8. Utility Functions
42.9. Environment Variables
章43. Server Programming Interface
43.1. Interface Functions
Spi-spi-connect
Spi-spi-finish
Spi-spi-push
Spi-spi-pop
Spi-spi-execute
Spi-spi-exec
Spi-spi-execute-with-args
Spi-spi-prepare
Spi-spi-prepare-cursor
Spi-spi-prepare-params
Spi-spi-getargcount
Spi-spi-getargtypeid
Spi-spi-is-cursor-plan
Spi-spi-execute-plan
Spi-spi-execute-plan-with-paramlist
Spi-spi-execp
Spi-spi-cursor-open
Spi-spi-cursor-open-with-args
Spi-spi-cursor-open-with-paramlist
Spi-spi-cursor-find
Spi-spi-cursor-fetch
Spi-spi-cursor-move
Spi-spi-scroll-cursor-fetch
Spi-spi-scroll-cursor-move
Spi-spi-cursor-close
Spi-spi-saveplan
43.2. Interface Support Functions
Spi-spi-fname
Spi-spi-fnumber
Spi-spi-getvalue
Spi-spi-getbinval
Spi-spi-gettype
Spi-spi-gettypeid
Spi-spi-getrelname
Spi-spi-getnspname
43.3. Memory Management
Spi-spi-palloc
Spi-realloc
Spi-spi-pfree
Spi-spi-copytuple
Spi-spi-returntuple
Spi-spi-modifytuple
Spi-spi-freetuple
Spi-spi-freetupletable
Spi-spi-freeplan
43.4. Visibility of Data Changes
43.5. Examples
VI. 参考手册
I. SQL命令
Sql-abort
Sql-alteraggregate
Sql-alterconversion
Sql-alterdatabase
Sql-alterdefaultprivileges
Sql-alterdomain
Sql-alterforeigndatawrapper
Sql-alterfunction
Sql-altergroup
Sql-alterindex
Sql-alterlanguage
Sql-alterlargeobject
Sql-alteroperator
Sql-alteropclass
Sql-alteropfamily
Sql-alterrole
Sql-alterschema
Sql-altersequence
Sql-alterserver
Sql-altertable
Sql-altertablespace
Sql-altertsconfig
Sql-altertsdictionary
Sql-altertsparser
Sql-altertstemplate
Sql-altertrigger
Sql-altertype
Sql-alteruser
Sql-alterusermapping
Sql-alterview
Sql-analyze
Sql-begin
Sql-checkpoint
Sql-close
Sql-cluster
Sql-comment
Sql-commit
Sql-commit-prepared
Sql-copy
Sql-createaggregate
Sql-createcast
Sql-createconstraint
Sql-createconversion
Sql-createdatabase
Sql-createdomain
Sql-createforeigndatawrapper
Sql-createfunction
Sql-creategroup
Sql-createindex
Sql-createlanguage
Sql-createoperator
Sql-createopclass
Sql-createopfamily
Sql-createrole
Sql-createrule
Sql-createschema
Sql-createsequence
Sql-createserver
Sql-createtable
Sql-createtableas
Sql-createtablespace
Sql-createtsconfig
Sql-createtsdictionary
Sql-createtsparser
Sql-createtstemplate
Sql-createtrigger
Sql-createtype
Sql-createuser
Sql-createusermapping
Sql-createview
Sql-deallocate
Sql-declare
Sql-delete
Sql-discard
Sql-do
Sql-dropaggregate
Sql-dropcast
Sql-dropconversion
Sql-dropdatabase
Sql-dropdomain
Sql-dropforeigndatawrapper
Sql-dropfunction
Sql-dropgroup
Sql-dropindex
Sql-droplanguage
Sql-dropoperator
Sql-dropopclass
Sql-dropopfamily
Sql-drop-owned
Sql-droprole
Sql-droprule
Sql-dropschema
Sql-dropsequence
Sql-dropserver
Sql-droptable
Sql-droptablespace
Sql-droptsconfig
Sql-droptsdictionary
Sql-droptsparser
Sql-droptstemplate
Sql-droptrigger
Sql-droptype
Sql-dropuser
Sql-dropusermapping
Sql-dropview
Sql-end
Sql-execute
Sql-explain
Sql-fetch
Sql-grant
Sql-insert
Sql-listen
Sql-load
Sql-lock
Sql-move
Sql-notify
Sql-prepare
Sql-prepare-transaction
Sql-reassign-owned
Sql-reindex
Sql-release-savepoint
Sql-reset
Sql-revoke
Sql-rollback
Sql-rollback-prepared
Sql-rollback-to
Sql-savepoint
Sql-select
Sql-selectinto
Sql-set
Sql-set-constraints
Sql-set-role
Sql-set-session-authorization
Sql-set-transaction
Sql-show
Sql-start-transaction
Sql-truncate
Sql-unlisten
Sql-update
Sql-vacuum
Sql-values
II. 客户端应用程序
App-clusterdb
App-createdb
App-createlang
App-createuser
App-dropdb
App-droplang
App-dropuser
App-ecpg
App-pgconfig
App-pgdump
App-pg-dumpall
App-pgrestore
App-psql
App-reindexdb
App-vacuumdb
III. PostgreSQL服务器应用程序
App-initdb
App-pgcontroldata
App-pg-ctl
App-pgresetxlog
App-postgres
App-postmaster
VII. 内部
章44. PostgreSQL内部概览
44.1. 查询路径
44.2. 连接是如何建立起来的
44.3. 分析器阶段
44.4. ThePostgreSQL规则系统
44.5. 规划器/优化器
44.6. 执行器
章45. 系统表
45.1. 概述
45.2. pg_aggregate
45.3. pg_am
45.4. pg_amop
45.5. pg_amproc
45.6. pg_attrdef
45.7. pg_attribute
45.8. pg_authid
45.9. pg_auth_members
45.10. pg_cast
45.11. pg_class
45.12. pg_constraint
45.13. pg_conversion
45.14. pg_database
45.15. pg_db_role_setting
45.16. pg_default_acl
45.17. pg_depend
45.18. pg_description
45.19. pg_enum
45.20. pg_foreign_data_wrapper
45.21. pg_foreign_server
45.22. pg_index
45.23. pg_inherits
45.24. pg_language
45.25. pg_largeobject
45.26. pg_largeobject_metadata
45.27. pg_namespace
45.28. pg_opclass
45.29. pg_operator
45.30. pg_opfamily
45.31. pg_pltemplate
45.32. pg_proc
45.33. pg_rewrite
45.34. pg_shdepend
45.35. pg_shdescription
45.36. pg_statistic
45.37. pg_tablespace
45.38. pg_trigger
45.39. pg_ts_config
45.40. pg_ts_config_map
45.41. pg_ts_dict
45.42. pg_ts_parser
45.43. pg_ts_template
45.44. pg_type
45.45. pg_user_mapping
45.46. System Views
45.47. pg_cursors
45.48. pg_group
45.49. pg_indexes
45.50. pg_locks
45.51. pg_prepared_statements
45.52. pg_prepared_xacts
45.53. pg_roles
45.54. pg_rules
45.55. pg_settings
45.56. pg_shadow
45.57. pg_stats
45.58. pg_tables
45.59. pg_timezone_abbrevs
45.60. pg_timezone_names
45.61. pg_user
45.62. pg_user_mappings
45.63. pg_views
章46. Frontend/Backend Protocol
46.1. Overview
46.2. Message Flow
46.3. Streaming Replication Protocol
46.4. Message Data Types
46.5. Message Formats
46.6. Error and Notice Message Fields
46.7. Summary of Changes since Protocol 2.0
47. PostgreSQL Coding Conventions
47.1. Formatting
47.2. Reporting Errors Within the Server
47.3. Error Message Style Guide
章48. Native Language Support
48.1. For the Translator
48.2. For the Programmer
章49. Writing A Procedural Language Handler
章50. Genetic Query Optimizer
50.1. Query Handling as a Complex Optimization Problem
50.2. Genetic Algorithms
50.3. Genetic Query Optimization (GEQO) in PostgreSQL
50.4. Further Reading
章51. 索引访问方法接口定义
51.1. 索引的系统表记录
51.2. 索引访问方法函数
51.3. 索引扫描
51.4. 索引锁的考量
51.5. 索引唯一性检查
51.6. 索引开销估计函数
章52. GiST Indexes
52.1. Introduction
52.2. Extensibility
52.3. Implementation
52.4. Examples
52.5. Crash Recovery
章53. GIN Indexes
53.1. Introduction
53.2. Extensibility
53.3. Implementation
53.4. GIN tips and tricks
53.5. Limitations
53.6. Examples
章54. 数据库物理存储
54.1. 数据库文件布局
54.2. TOAST
54.3. 自由空间映射
54.4. 可见映射
54.5. 数据库分页文件
章55. BKI后端接口
55.1. BKI 文件格式
55.2. BKI命令
55.3. 系统初始化的BKI文件的结构
55.4. 例子
章56. 规划器如何使用统计信息
56.1. 行预期的例子
VIII. 附录
A. PostgreSQL错误代码
B. 日期/时间支持
B.1. 日期/时间输入解析
B.2. 日期/时间关键字
B.3. 日期/时间配置文件
B.4. 日期单位的历史
C. SQL关键字
D. SQL Conformance
D.1. Supported Features
D.2. Unsupported Features
E. Release Notes
Release-0-01
Release-0-02
Release-0-03
Release-1-0
Release-1-01
Release-1-02
Release-1-09
Release-6-0
Release-6-1
Release-6-1-1
Release-6-2
Release-6-2-1
Release-6-3
Release-6-3-1
Release-6-3-2
Release-6-4
Release-6-4-1
Release-6-4-2
Release-6-5
Release-6-5-1
Release-6-5-2
Release-6-5-3
Release-7-0
Release-7-0-1
Release-7-0-2
Release-7-0-3
Release-7-1
Release-7-1-1
Release-7-1-2
Release-7-1-3
Release-7-2
Release-7-2-1
Release-7-2-2
Release-7-2-3
Release-7-2-4
Release-7-2-5
Release-7-2-6
Release-7-2-7
Release-7-2-8
Release-7-3
Release-7-3-1
Release-7-3-10
Release-7-3-11
Release-7-3-12
Release-7-3-13
Release-7-3-14
Release-7-3-15
Release-7-3-16
Release-7-3-17
Release-7-3-18
Release-7-3-19
Release-7-3-2
Release-7-3-20
Release-7-3-21
Release-7-3-3
Release-7-3-4
Release-7-3-5
Release-7-3-6
Release-7-3-7
Release-7-3-8
Release-7-3-9
Release-7-4
Release-7-4-1
Release-7-4-10
Release-7-4-11
Release-7-4-12
Release-7-4-13
Release-7-4-14
Release-7-4-15
Release-7-4-16
Release-7-4-17
Release-7-4-18
Release-7-4-19
Release-7-4-2
Release-7-4-20
Release-7-4-21
Release-7-4-22
Release-7-4-23
Release-7-4-24
Release-7-4-25
Release-7-4-26
Release-7-4-27
Release-7-4-28
Release-7-4-29
Release-7-4-3
Release-7-4-30
Release-7-4-4
Release-7-4-5
Release-7-4-6
Release-7-4-7
Release-7-4-8
Release-7-4-9
Release-8-0
Release-8-0-1
Release-8-0-10
Release-8-0-11
Release-8-0-12
Release-8-0-13
Release-8-0-14
Release-8-0-15
Release-8-0-16
Release-8-0-17
Release-8-0-18
Release-8-0-19
Release-8-0-2
Release-8-0-20
Release-8-0-21
Release-8-0-22
Release-8-0-23
Release-8-0-24
Release-8-0-25
Release-8-0-26
Release-8-0-3
Release-8-0-4
Release-8-0-5
Release-8-0-6
Release-8-0-7
Release-8-0-8
Release-8-0-9
Release-8-1
Release-8-1-1
Release-8-1-10
Release-8-1-11
Release-8-1-12
Release-8-1-13
Release-8-1-14
Release-8-1-15
Release-8-1-16
Release-8-1-17
Release-8-1-18
Release-8-1-19
Release-8-1-2
Release-8-1-20
Release-8-1-21
Release-8-1-22
Release-8-1-23
Release-8-1-3
Release-8-1-4
Release-8-1-5
Release-8-1-6
Release-8-1-7
Release-8-1-8
Release-8-1-9
Release-8-2
Release-8-2-1
Release-8-2-10
Release-8-2-11
Release-8-2-12
Release-8-2-13
Release-8-2-14
Release-8-2-15
Release-8-2-16
Release-8-2-17
Release-8-2-18
Release-8-2-19
Release-8-2-2
Release-8-2-20
Release-8-2-21
Release-8-2-3
Release-8-2-4
Release-8-2-5
Release-8-2-6
Release-8-2-7
Release-8-2-8
Release-8-2-9
Release-8-3
Release-8-3-1
Release-8-3-10
Release-8-3-11
Release-8-3-12
Release-8-3-13
Release-8-3-14
Release-8-3-15
Release-8-3-2
Release-8-3-3
Release-8-3-4
Release-8-3-5
Release-8-3-6
Release-8-3-7
Release-8-3-8
Release-8-3-9
Release-8-4
Release-8-4-1
Release-8-4-2
Release-8-4-3
Release-8-4-4
Release-8-4-5
Release-8-4-6
Release-8-4-7
Release-8-4-8
Release-9-0
Release-9-0-1
Release-9-0-2
Release-9-0-3
Release-9-0-4
F. 额外提供的模块
F.1. adminpack
F.2. auto_explain
F.3. btree_gin
F.4. btree_gist
F.5. chkpass
F.6. citext
F.7. cube
F.8. dblink
Contrib-dblink-connect
Contrib-dblink-connect-u
Contrib-dblink-disconnect
Contrib-dblink
Contrib-dblink-exec
Contrib-dblink-open
Contrib-dblink-fetch
Contrib-dblink-close
Contrib-dblink-get-connections
Contrib-dblink-error-message
Contrib-dblink-send-query
Contrib-dblink-is-busy
Contrib-dblink-get-notify
Contrib-dblink-get-result
Contrib-dblink-cancel-query
Contrib-dblink-get-pkey
Contrib-dblink-build-sql-insert
Contrib-dblink-build-sql-delete
Contrib-dblink-build-sql-update
F.9. dict_int
F.10. dict_xsyn
F.11. earthdistance
F.12. fuzzystrmatch
F.13. hstore
F.14. intagg
F.15. intarray
F.16. isn
F.17. lo
F.18. ltree
F.19. oid2name
F.20. pageinspect
F.21. passwordcheck
F.22. pg_archivecleanup
F.23. pgbench
F.24. pg_buffercache
F.25. pgcrypto
F.26. pg_freespacemap
F.27. pgrowlocks
F.28. pg_standby
F.29. pg_stat_statements
F.30. pgstattuple
F.31. pg_trgm
F.32. pg_upgrade
F.33. seg
F.34. spi
F.35. sslinfo
F.36. tablefunc
F.37. test_parser
F.38. tsearch2
F.39. unaccent
F.40. uuid-ossp
F.41. vacuumlo
F.42. xml2
G. 外部项目
G.1. 客户端接口
G.2. 过程语言
G.3. 扩展
H. The Source Code Repository
H.1. Getting The Source Via Git
I. 文档
I.1. DocBook
I.2. 工具集
I.3. 制作文档
I.4. 文档写作
I.5. 风格指导
J. 首字母缩略词
参考书目
Bookindex
Index
©
Ce document utilise Manuel du site Web PHP chinois Libérer
personnages
31.17. SSL支持
PostgreSQL本机支持使用SSL连接对客户端/服务器通讯进行加密, 以增强安全性。参阅Section 17.8获取有关服务器端SSL功能的细节。
libpq读取全系统 OpenSSL配置文件,默认情况下,文件命名 为openssl.cnf并且存放在openssl version -d 目录报告中,此默认可以通过设置环境变量OPENSSL_CONF覆盖配置名称文件名称。
31.17.1. 证书验证
缺省,PostgreSQL不会执行任何服务器证书验证。 这就意味着可以在客户端没有察觉的情况下骗过服务认证(如,通过修改一个DNS记录或接管服务IP)。 为了避免这种情况,必须使用SSL证书认证。
如果sslmode参数设置为verify-ca,libpq将通过检查受信任的证书颁发机构的证书链(CA)来通过 服务是可信任的。如果sslmode设置为verify-full,libpq会通过验证服务主机名匹配认证来认为服务是可信任的。 如果服务验证不能被通过,那么SSL连接会失败。在大多数对安全要求较高的环境中,建议使用verify-full。
在verify-full模式下,认证的cn(Common Name)属性与主机名进行匹配。 如果cn以*开始,会被看做是一个通配符,并且会匹配除了.之外的所有字符。 这就意味着认证不会匹配子域名。如果是使用IP而不是主机名进行连接,会进行IP匹配检查(不会做DNS检查)。
为了允许服务器认证通过,一个或多个信任的CA认证必须放在用户的home目录下的~/.postgresql/root.crt文件中。 Windows下的文件名是%APPDATA%\postgresql\root.crt。
如果存在~/.postgresql/root.crl文件(Windows下是%APPDATA%\postgresql\root.crl文件),同样也会检查CRL。
root认证文件和CRL的位置可以通过设置sslrootcert和sslcrl连接参数,或PGSSLROOTCERT和PGSSLCRL环境变量进行修改。
31.17.2. 客户端证书
如果服务器要求一个信任的客户端认证,libpq将发送存储在~/.postgresql/postgresql.crt文件中的 证书。该认证必须通过一个或多个服务器信任的CA认证。 同时也必须出示一个匹配的私钥文件~/.postgresql/postgresql.key。 私钥文件不允许任何对世界或组的访问;通过chmod 0600 ~/.postgresql/postgresql.key命令可以实现。 在Windows上,这个文件是%APPDATA%\postgresql\postgresql.crt和%APPDATA%\postgresql\postgresql.key, 同时没有特定的权限检查,因为目录被认为是安全的。证书和key文件的位置可以通过sslcert和sslkey连接参数, 或PGSSLCERT和PGSSLKEY环境变量进行覆盖重写。
在一些情况下,客户端认证可能会被一个"intermediate"的证书认证来标记, 而不是一个能直接被服务信任的。为了使用一个这种认证,向postgresql.crt文件 追加标记认证权,并且直到"root"都可以被服务器信任。root认证应该被包含在任何一种情况(postgresql.crt包含一个或多个认证)下。
需要注意的是,root.crt列出了最高级别的CA,被认为对标记服务认证中是可信任的。 原则上,不需要列出标记客户端认证的CA,尽管在大多数情况下,CA仍会被认为对服务器认证是可信任的。
31.17.3. 在不同的模式提供保护
sslmode参数的不同值提供了不同的保护级别。SSL可以提供为三种攻击提供保护:
Table 31-2. SSL的攻击
| 类型 | 描述 |
|---|---|
| Eavesdropping(窃听) | 如果一个第三方可以在客户端与服务器端之间检查网络通信, 那么它就能读取两边的连接信息(包括用户名和密码)以及传递的数据。对此, SSL通过加密进行防护。 |
| MITM | 如果客户端和服务器端进行传递数据的时候,第三方可以对其进行修改,那么他就能伪装成服务器, 然后查看或修改数据(即使是加密的)。第三方接着可以向原始服务器发出连接信息和数据, 最终造成无法防护这种攻击。这种攻击常用的载体有DNS中毒或IP绑架,即客户端被定向到预期之外的不同的服务器。 同样还有几种其他的方法也能做到这种攻击。SSL通过服务器到客户端的证书验证来阻止这种攻击。 |
| 模拟 | 如果第三方可以伪装成一个认证了的客户端,那么它就能轻松访问到它本来不能访问的数据。 典型的,如不安全的密钥管理,就会造成这种情况。SSL通过客户端认证来阻止这种情况, 即确保只有知道有效认证的人员才能访问连接服务器。 |
对于一个被称为安全的连接来说,进行连接之前,必须在客户端和服务器端都进行SSL配置。 如果只在服务器端进行配置,在它知道服务器端需要高级认证之前不会发送敏感信息(如密码等)。 在libpq中,可以通过将sslmode参数设置为verify-full或verify-ca来确保安全连接, 并且为系统提供一个root认证以进行安全认证。类似于使用https和URL进行加密网页浏览。
一旦服务器已经认证,客户端就可以发送敏感信息。 这就意味着知道这一刻,客户端都不需要知道,是否认证需要证书,只在服务器配置,对其安全地指定。
所有以加密和密钥交换方式得SSL选项都会产生开销, 因此在性能和安全之间需要进行一个权衡。下表说明不同sslmode为值的安全风险, 以及关于安全和开销所做出的声明:
Table 31-3. SSL模式说明
| sslmode | 窃听保护 | MITM保护 | 声明 |
|---|---|---|---|
| disabled | 否 | 否 | 我不关心安全,我不想来支付加密的开销 |
| 允许 | 可能 | 否 | 我不关心安全性,但我会支付的加密开销 ,如果服务器的治持的话 |
| 喜欢 | 或许 | 否 | 我不关心加密,但我想支付加密开销 ,如果服务器支持它。 |
| 要求 | 是 | 否 | 我想我的数据是加密的,我接受的开销。我相信 该网络将确保我始终连接到服务器,按我想象的。 |
| 验证CA | 是 | 取决于对CA规定 | 我希望我的数据加密,我接受的开销。我想成为 确保连接到一个服务器,我坚信。 |
| 全验证 | 是 | 是 | 我希望我的数据加密,我接受开销。我想确定连接到一个服务器我相信,它是我 指定。 |
verify-ca和verify-full之间的不同是根据rootCA的规定。 如果使用的是一个公用CA,verify-ca允许那些带有CA注册的客户端对服务器进行连接访问。 在这种情况下,应该使用verify-full。如果使用的是一个本地CA, 甚至是一个自签名证书,使用verify-ca通常会提供充分的保护。
sslmode缺省值是prefer。如在表中说明的那样,从安全角度来看这样做是没有意义的, 并且如果可能的话,它只承诺性能的开销。它仅提供了缺省向后兼容性,在安全部署中不建议使用。
31.17.4. SSL文件的使用
Table 31-4. libpq/客户端SSL文件的使用
| 文件 | 内容 | 影响 |
|---|---|---|
| ~/.postgresql/postgresql.crt | 客户端证书 | 服务器要求 |
| ~/.postgresql/postgresql.key | 客户端的私钥 | 证明由所有者发送的客户端证书,并不表示 证书拥有者是值得信赖 |
| ~/.postgresql/root.crt | 受信任的证书颁发机构 | 检查服务器证书是由受信任的证书机关签署。 |
| ~/.postgresql/root.crl | 证书颁发机构吊销证书 | 服务器证书必须不在这个名单 |
31.17.5. SSL library initialization SSL库初始化
如果应用程序初始化libssl和/或libcrypto库以及libpq编译为支持SSL,
应该调用PQinitOpenSSL来告诉libpq说libssl和/或libcrypto已经被应用程序初始化了,
因此libpq将不会在初始化这些库。
参阅http://h71000.www7.hp.com/doc/83final/BA554_90007/ch04.html
-
PQinitOpenSSL -
允许应用程序选择安全库初始化。
void PQinitOpenSSL(int do_ssl,int do_crypto);
当do_ssl为非0时,在第一次打开一个数据库连接之前,libpq将初始化OpenSSL库。 当do_crypto为非0时,libcrypto库将被初始化。 缺省(如果
PQinitOpenSSL没有被调用),两个库都会被初始化。 如果没有编译SSL支持,会提供该函数,但不会做任何事情。如果应用程序使用并初始化OpenSSL,或其底层libcrypto库,那么 在第一次打开一个数据库连接之前,必须调用这个函数(带有适当0值的参数)。 同样要确保在打开一个数据库连接之前做过初始化。
-
PQinitSSL -
允许应用程序选择安全库初始化。
void PQinitSSL(int do_ssl);
此功能相当于PQinitOpenSSL(do_ssl,do_ssl) 它的应用是足够的同时初始化或都不初始化OpenSSL和libcrypto。
从8.0之后的版本就提供了
PQinitSSL函数,然而PQinitOpenSSL函数是在8.4中才添加的, 因此对老版本的libpq的使用,PQinitSSL是对应用程序的不错的选择。