Sicherheit ist kein Zustand, sondern ein Prozess.
Die Seite ist so sicher wie du sie schreibst.

Hm :)
Geht mir jetzt nur um den Login. Ich hab erst seit knapp 2 Wochen einen Vertrag mit einem "richtigen" Anbieter (all-inkl.com), wo ich neben Webspace auch volle Perl, PHP und MySql Unterstützung habe.

Wie sicher die DB ist, weiss ich nicht - ich hab mich mit dem Thema Sicherheit einfach noch nicht richtig beschäftigt.

Derzeit schreibe ich die Userpasswörter nur als Prüfsumme (MD5) in die DB, und der Login erfolgt über 16-stellige Session-IDs (maximale Dauer eine Stunde). Die SID wird in ein Cookie geschrieben, das seine Gültigkeit beim Schließen des Browsers verliert. Der User wird nur über die SID des Cookies und der Sessiondatenbank identifiziert.

Bei jedem Login eines Users wird zudem das SessionTable "aufgeräumt", d.h. alte Sessions entfernt.

Ich denke (hoffe!), das ist schon ziemlich sicher. Selbst wenn jemand die DB von außen einsehen kann, bringt ihm das nichts, weil er nur die MD5-Passwörter sieht...

Der einzige Angriffspunkt ist imo der Moment des Einloggens, wenn
das Passwort per Klarnamen an das Skript geschickt wird.

Die einzige Möglichkeit wäre hier SSL, oder?

Was mich aber interessiert: Wie schwierig ist es, ein Passwort beim Login abzufangen? Vielleicht stell ich mir das ja völlig falsch vor. Naja, eigentlich hab ich als Nicht-Hacker überhaupt keine Vorstellung davon :)

Zweite Frage:

Es wird die Standard-Datei (DirectoryIndex beim Apache) aufgerufen mit den entsprechenden Variablen.
Also bei index.php z.B.:
?var=wert
anstatt
index.php?var=wert

Oh, natürlich, da hätte ich auch drauf kommen können - statt index.html ist halt index.php die Startseite.
Ich hab jetzt nur keine Ahnung, ob ich das bei mir ändern kann... das steht doch normalweise in der httpd.conf? Da lässt mich mein Anbieter doch sicherlich nicht dran... oder gibt es andere einfachere Möglichkeiten, diese Startdateien festzulegen?

Dritte Frage:
Einfach das $-Zeichen für eine Variable vorne dransetzen und wohlfühlen... *g*

Ah, cool, danke. Geht das nur mit PHP oder auch mit einem Perl-Cgi?

Danke!