Hi,

ich habe ein kleines Game in JavaScript Programmiert. Und die Highscore soll jeder in die Datenbank eintragen können.

Jetzt soll allerdings nicht jeder der bisschen Ahnung hat einfach einen Parameter übergeben und sich so in die Highscore eintragen. Wie kann ich die Highscores den vor solchen Cheatern schützen?

Auf der 1. Seite ist das Spiel. Von dort werden paar Parameter an die 2. Seite Übergeben und dort wird der insert gemacht.


Würde es genügen den REFERER abzufragen? Wenn ja wie funktioniert das?

Mister Ad

robo47

12.3. Warum ist es schlecht, mit dem Referer zu arbeiten?
http://www.php-faq.de/q/q-http-referer.html

vieleicht bissel mehr code wie das ganze aufgebaut ist, wie du die variablen übergibst. ne idee wäre das ganze über sessions zu machen. aber alles lässt sich manupulieren :P

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

OK hier mehr input:

bei dem spiel werden immer 25 runden gespielt. mal gewinnt man mal verliert man.

die anzahl der gewonnenen und verlorenen spiele werden in hidden felder geschrieben. zusätzlich gibt es noch ein input feld in dem man den namen einträgt.

im moment habe ich noch ein hidden feld in das [gewonnene spiele]-[verlorene spiele] eingetragen wird.

*.php?pwin=15&cwin=10&scoreok=5&name=klaus

auf der php seite wird nun pwin-cwin mit scoreok verglichen. wenn dies richtig ist dann wird erst eingetragen.

wer sich allerdings das javascript genauer anguckt kommt schnell hinter diese sperre. deswegen würde ich gerne ein bessere sperre benutzen, weiß aber nicht wie!

Solche Daten gehören in die Session und nicht in den URL, weil sie dort vom User beliebig fälschbar sind.

Sessions wollte ich vermeiden.

Und was ist wenn ich nur Postparameter zulasse? Bei meinen geringen Besucherzahlen dürfte das ausreichen. Wenn ich nicht dabei schreibe, das Post Parameter gefordert sich kommt da eh keiner drauf. Muss ja nicht 100% sicher sein. Wer sich dafür so viel Arbeit macht der solls halt machen...

Aber wie Überprüfe ich ob eine Variable ein Postparameter ist?

Unfug. Sessions sind für Dich die einzige Möglichkeit, Manipulationen durch den User zu verhindern.

Post steht bekanntlich in $_POST.

Aber auch das hilft nix gegen Manipulationen:
12.11. Prüfe importierte Parameter. Traue niemandem
http://www.php-faq.de/q/q-sicherheit-parameter.html

Wenn ich jetzt eine Variable namens "pwin" übergebe. wie Prüfe ich diese ab?


Richtig so?

JEGO

__________________
Gruß JEGO

Ein PHP Script tut, was Du schreibst, nicht was Du willst.

robo47

vieleicht mal anschauen:

register_globals
http://www.phpfriend.de/ftopic26569.html
-> lesen, verstehen, umsetzen !!

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

Waq

Wenn das Spiel in Javascript geschrieben ist wird auch das keine Sicherheit bringen, denn so hat jeder die Möglichkeit, sich den clientseitigen Teil des Spiels so zurechtzuprogrammieren, dass er mehr Punkte bekommt.

__________________
mod = master of disaster