Как проверить откуда идёт запрос?

@kerg archer · Регистрация: 19.02.2015

Студворк — интернет-сервис помощи студентам

Сделал страницу с некой программой на JS. Что-то типа игры. В игре есть пользователи и есть таблица результатов.
И вот игра заканчивается и JS через 'ajax' отправляет на сайт информацию: логин, пароль и результат. На сервере это заносится в базу. Всё сделано очень просто, но эта простота содержит дыру -- для JS междоменные запросы запрещены на уровне браузера, но они ведь не запрещены на уровне php с любого домена!
Попробовал отослать через php логин, пароль и результат. И моя программа на удалённом сервере преспокойно всё это скушала. Жесть, ваще.

Что делать? Есть способ определять, что это пришло от юзера на JS, а не от хакера на PHP?

@tarasalk · 10.08.2019, 20:19

Данным от клиента доверять нельзя, их довольно легко подменить, тем более зная логин/пароль. Тут даже PHP не нужен, можно в браузере манипулировать JS кодом.
Единственный выход это проверять всё на сервере.

@kerg archer · 10.08.2019, 21:20 **[ТС]**

Видимо, я как-то непонятно описал проблему.
На хостинге лежит игра. Есть пользователь этой игры. Он вошёл, его проверили, всё ok. Набрал 5 очков.
Маловато...
Он знает свой логин и пароль. Смотрит, какой файл вызывается через JS. Смотрит, какие переменные отсылаются.
Запускает php на своём localhost и отсылает свой логин, пароль и 500 очков, методом HTTP POST.

JS, который отсылает данные:

JavaScript
1
2
request.open("POST", "recpost.php", true)
senddata = "login=" + login + "&pass=" + pass + "&rec=" + rec;

PHP, который получает данные:

PHP
1
2
3
if (isset($_POST['rec']))
if (isset($_POST['login']))
if (isset($_POST['pass']))

Что тут можно проверить? Логин? Есть такой логин. Пароль? Есть такой пароль и зашифрован и посыпан солью. Но это ведь не мешает принять 500 очков! Как отличить "честные" данные от мухлежа?

@tarasalk · 10.08.2019, 22:34

Сообщение от kerg archer

Но это ведь не мешает принять 500 очков! Как отличить "честные" данные от мухлежа?

Я же говорю никак. Нельзя доверять данным от клиента. По хорошему состояние игры должно храниться и просчитываться на сервере, а клиент только визуализирует результаты.
Подробнее можно на хабре почитать - Защита от накруток в онлайн играх

@kerg archer · 11.08.2019, 09:32 **[ТС]**

Понял... Единого решения нет. Есть комплекс мер. Печаль.

@alexsamos33 · 11.08.2019, 09:45

Я так коины кликеры накручивал, клоны вк коина.
Но там админы вручную проверяли и банили.
Таймер сделай запроса, не более одного в 5 секунд, например. И макс. число ограничь в одном запросе типа if ($count < 6) { /* успех */ } else { /* накрутка */ }

Новые блоги и статьи Все статьи Все блоги /
влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .
Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .

@kerg archer 0 / 0 / 0 Регистрация: 19.02.2015 Сообщений: 31

	Как проверить откуда идёт запрос? 10.08.2019, 13:54. Показов 3254. Ответов 5 Метки ajax, crossdomain, безопасность (Все метки) Сделал страницу с некой программой на JS. Что-то типа игры. В игре есть пользователи и есть таблица результатов. И вот игра заканчивается и JS через 'ajax' отправляет на сайт информацию: логин, пароль и результат. На сервере это заносится в базу. Всё сделано очень просто, но эта простота содержит дыру -- для JS междоменные запросы запрещены на уровне браузера, но они ведь не запрещены на уровне php с любого домена! Попробовал отослать через php логин, пароль и результат. И моя программа на удалённом сервере преспокойно всё это скушала. Жесть, ваще. Что делать? Есть способ определять, что это пришло от юзера на JS, а не от хакера на PHP? 0

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	10.08.2019, 20:19
	Данным от клиента доверять нельзя, их довольно легко подменить, тем более зная логин/пароль. Тут даже PHP не нужен, можно в браузере манипулировать JS кодом. Единственный выход это проверять всё на сервере. 0

@kerg archer 0 / 0 / 0 Регистрация: 19.02.2015 Сообщений: 31
	11.08.2019, 09:32 [ТС]
	Понял... Единого решения нет. Есть комплекс мер. Печаль. 0

@alexsamos33 669 / 640 / 335 Регистрация: 26.04.2014 Сообщений: 2,122
	11.08.2019, 09:45
	Я так коины кликеры накручивал, клоны вк коина. Но там админы вручную проверяли и банили. Таймер сделай запроса, не более одного в 5 секунд, например. И макс. число ограничь в одном запросе типа if ($count < 6) { /* успех / } else { / накрутка */ } 1

Как проверить откуда идёт запрос?

Решение