动作脚本 3.0 -> PHP->游戏应用程序的 MySQL 安全问题

Question

我计划用 Actionscript 3.0 (flash) 制作一个游戏。但是，我在保存用户积分方面遇到了一些安全问题。

更具体地说，请阅读下文，您将了解确切的问题是什么。

1. 您正在启动我的 Flash 应用程序。 PHP 为您的用户名创建一个会话。玩了几分钟就达到了750分。
2. 您点击“保存我的积分”按钮。
3. 它将“game.php?points=[]”与您的积分金额连接起来，因此，game.php?points=750。
4. PHP 连接到 MySQL 并使用您在打开应用程序时输入的用户名执行更新/插入查询，并使用 $_GET['points'] 获取积分，如您在 3 中看到的那样。

问题是， 任何可以直接浏览“game.php?points=999999999999”的人都会将他的积分保存在数据库中。

我考虑过加密点，但是，Flash 是客户端应用程序，任何人都可以使用“Cheat Engine”等应用程序更改“点”值。一旦他们改变了点，Flash就会自动生成加密点。

我还考虑过为每个玩家在注册时创建一个私钥并进行相应的加密，但这也行不通，因为一旦用户使用 Cheat Engine 更改了他的积分，flash 将自动使用给定的私钥对积分进行加密，因此，另一个无用的理论...

有些人建议我使用 SSL，只是因为像 Zynga 这样的流行公司使用它，但我在这里寻找其他理论。

除了使用 SSL 之外，对这种情况还有什么想法吗？

诗。该游戏将是一款MMO，因此确保数据交易的安全至关重要。

Answer 1

为了真正安全的方法，您需要将游戏的逻辑尽可能地移至服务器，并且理想情况下使 Flash 影片只是一个向用户显示游戏当前状态的界面。

查看此线程中 Yeldarb 的帖子，以获得很好的解释。

Answer 2

首先，SSL 根本没有帮助你。听起来您好像从未听说过Tamperdata。

这是典型的 CWE-602 违规行为。密码学不能解决这些问题，因为攻击者对应用程序的控制比您更多。没有地方可以隐藏秘密。