php - 如何通过 PHP AJAX 调用安全地更改玩家数据？

Question

在开发 Facebook 游戏时，我意识到我还想不出一种安全的方法来更改用户数据(例如，玩家健康状况)，我想通过 AJAX 调用来完成。如果我使用参数 {userid : 12345, newhealth : 25} 调用诸如 change_user_health.php 之类的脚本，我该如何调用它以防止用户从偷看脚本并自己调用该脚本到，比方说，让自己始终保持健康？

我最初想传递一个散列(可能是某个值的加盐 MD5 加密)，但这个散列在调用 AJAX 脚本文件的 JavaScript 中是可见的。如果用户看不到 MD5 散列是如何加盐和组合的，我该怎么做才能调用 AJAX PHP 脚本？我希望散列在其组成中包含健康值(上例中为 25)，这样用户就不能只使用相同的散列弹出不同的值(如 100)。

Answer 1

解决方案:将所有内容都放在服务器端。

说，玩家被击中了。而不是发送设置玩家 HP 的请求 ( setPlayerHP( current_hp - damage ))

发送请求通知服务器玩家已被击中，并让服务器处理并在响应中发送剩余的生命值。 (玩家命中())

然后服务器应该弄清楚是什么击中了他，以及他穿着什么盔甲。您根本不能信任 javascript...如果您将怪物 ID 与请求或盔甲 ID 一起发送，那么玩家可以轻松伪造它。

您所从事的工作听起来像是一种有趣的编程体验 :) 延迟也让事情变得更有趣。