Один мой друг сделал для моего сайта флеш-игру. Игра делает запрос к /game/p00ints.php с очками в $ _POST ['points'].
Но хакер может легко узнать, как получить больше очков, я думаю, так как же мой друг или я могу исправить эту дыру в безопасности?
С наилучшими пожеланиями,
Эрик Перссон
Способ исправить это - выполнить расчет точек на сервере и отправить клиенту необработанный ввод (например, удерживать клавишу со стрелкой влево 1 секунду, нажать клавишу ввода, удерживать левую кнопку мыши 2 секунды и т. Д.). Даже в этом случае злоумышленники могут писать ботов для обхода вашего флеш-клиента (но боты должны будут отправлять необработанные входные данные). Я понимаю, что реализовать это сложно, но я думаю, что это наиболее безопасное решение.
Добавление закрытого ключа во флеш-файл может стать препятствием для казуальной игры. Однако он не обеспечивает реальной безопасности, потому что кто-то может легко декомпилировать SWF.
Быстрое решение - добавьте в качестве второго параметра контрольную сумму, например md5 ("secretword" + md5 (points)). Это усложнит жизнь хакерам, и, надеюсь, они не побеспокоят.
Я не думаю, что существует стопроцентно безопасное решение, поскольку флеш-память можно декомпилировать.
