Thread Perl CGI & MySQL "Buchhaltung" (2 answers)
Opened by Gustl at 2010-11-19 08:51

Gast Gustl
 2010-11-19 08:51
#142867 #142867
Hallo,

ich bin gerade dabei auf meinen Webspace von all-inkl eine persönliche Seite mit Perl/ MySQL, HTML/CSS, etc. zu erstellen. Mit dieser Seite will ich eine Buchhaltung für mein Kleingewerbe bewältigen. Wo Kundendaten, Lastenheft/ PFlichtenheft, Rechnungen, Termine, Passwörter (in Klartext), etc. gespeichert werden. Mir ist es wichtig das ich auf die Seite von überall, mit jedem Rechner zugreifen kann.
Alle Daten werden in die Datenbank geschrieben und mithilfe von Perl ausgelesen und ausgegeben.

Jetzt bin ich mir nicht sicher wie es hier bezüglich der Sicherheit aussieht.

Die Datenbankanbindung, Passwort, Datenbankname stehen in einem Modul "db.pm" im Klartext drin. (Wie sollte man das auch sonst machen?!)
Beim Aufrufen der Seite wird eine Passworteingabe gefordert, das Passwort steht verschlüsselt in der Datenbank, also vergleicht er nur den Hashwert (MD5). Dann gibt es eine Sitzungsverwaltung, aber nur mit Cookies. Nach richtiger Eingabe des Passworts, wird ein Cookie erzeugt und dieses auf eine Lebensdauer von 30min festgelegt.
Bei jedem neuen Aufruf einer Seite, wird das Cookie abgefragt.
Wenn es nicht existiert -> Zur Anmeldung
Wenn es existiert -> Cookie wird erneuert -> Lebesdauer weider 30min.

Ich habe mir noch überlegt das Verzeichnis, indem das Programm auf dem Webspace liegt, mit .htaccess noch extra eine Benutzer und Passwortabfrage zu integrieren, wollte mir dies aber sparen...

Was haltet ihr davon? Ist dies sicher vor Fremdeinblick? Oder wo sollte ich noch etwas ändern? Wo sind die Schwachstellen?

Gruß Gustl
Last edited: 2010-11-19 08:54:39 +0100 (CET)

View full thread Perl CGI & MySQL "Buchhaltung"