Nascondere i parametri di connessione con Perl DBI

In un’applicazione Perl, usando il noto modulo DBI, la connessione a un database avviene tramite un’istruzione come questa:


my $dbh = DBI->connect("DBI:mysql:test",
"utente", "password") or die "messaggio di errore";

Il primo parametro è obbligatorio, ed è composto da “dbi”, l’identificativo del modulo, seguito dal driver del database, nel nostro caso “mysql” e il nome del database, in questo esempio “test”. Per un database che si rispetti, occorre anche specificare il nome dell’utente e la password.

Niente da dire se questo script sta al sicuro nella vostra directory, protetta da occhi indiscreti.

Ma cosa succede se dovete distribuirlo a qualcuno per dimostrare qualcosa? Bisogna ricordarsi di cancellare nome utente e password, per evitare il fastidio di doverli poi cambiare nel database se sbadatamente abbiamo distribuito utente e password con l’esempio.

Oppure, se abbiamo un’applicazione CGI, nonostante le protezioni di sistema, il nostro script potrebbe essere sempre alla mercè degli occhi indiscreti di altri utenti che hanno accesso concorrente alla stessa applicazione.

Fortunatamente, esiste una soluzione che nasconde l’accesso alle variabili di connessione, prendendole da un file di configurazione, che può essere tenuto in una directory accessibile solo all’utente che deve eseguire l’applicazione, ma invisibile agli altri.

Funziona così: nella directory dell’utente interessato si costruisce un file di nome “.my.cnf” che contenga queste righe:


[mysql]
user=nomeutente
password=ilmiosegreto

Il file va protetto con gli opportuni privilegi ( chmod 600 .my.cnf) in modo che non possa essere letto da altri utenti. Quindi, si modifica l’istruzione di connessione così:


my $dbh = DBI->connect("DBI:mysql:test"
. ";mysql_read_default_file=$ENV{HOME}/.my.cnf",
undef, undef) or die "messaggio di errore";

L’opzione mysql_read_default_file indica il file da cui prendere le opzioni di connessione. Notate che al posto di nome utente e password ci sono due valori nulli (undef). Il nome del file, in questo caso, viene preso dalla variabile d’ambiente “$HOME” (nei sistemi Unix), ma si può anche indicare il nome espressamente. Questo accorgimento fa sì che lo script possa essere eseguito da più utenti, ciascuno con il suo nome utente e password, senza modificare nemmeno una riga.