Hej,
Mam taką jedną stronkę, test szybkości pisania, gdzie ludzie muszą wpisać w textarea tekst widoczny na stronie.
Następnie użytkownik może dodać się do listy, dane o wynikach są wysłane via POST i do bazy mysql dodany jest użytkownik wraz z wynikiem.
Wszystko wykonane w js/php (php tylko do dodania użytkownika do bazy danych).
No i oczywiście pojawili się chętni na oszustwa - zapewne wysyłają po prostu zmyślone wyniki poprzez POST.
Czy można się przed tym jakoś zabezpieczyć?
A i drugie pytanie - nie wiecie może z jakiego konkretnie programu mogą owi spryciarze korzystać? Coś mi się kojarzy, że był jakiś taki dodatek do FF ale teraz nie mogę go znaleźć.
cURL wystarczy; jedna linijka i już nabijają Ci statystyki. Nawet przez zwykłe file_get_contents się da (+stream_context_create).
Ciężko będzie... Choć w sumie może wystarczyć generowanie jakiegoś unikalnego identyfikatora do żądania, wrzucenie do sesji, do pola formularza i sprawdzanie przy wysyłaniu.
Ale podejrzewam, że i tak to - prędzej czy później - rozpracują.
Cytat
Czy można się przed tym jakoś zabezpieczyć?
Ciężko będzie... Choć w sumie może wystarczyć generowanie jakiegoś unikalnego identyfikatora do żądania, wrzucenie do sesji, do pola formularza i sprawdzanie przy wysyłaniu.
Ale podejrzewam, że i tak to - prędzej czy później - rozpracują.
Musisz walidować dane od użytkownika i tyle. Koniec zabezpieczeń.
Cytat
cURL wystarczy; jedna linijka i już nabijają Ci statystyki. Nawet przez zwykłe file_get_contents się da (+stream_context_create).
No wiem, ale tych "hackierów" jest tak dużo i w ogóle wyglądają raczej na script-kiddies, że wydaje mi się, że raczej z jakiegoś prostego acz popularnego narzędzia korzystają.
Cytat
Ciężko będzie... Choć w sumie może wystarczyć generowanie jakiegoś unikalnego identyfikatora do żądania, wrzucenie do sesji, do pola formularza i sprawdzanie przy wysyłaniu.
Nie wiem czy dobrze zrozumiałem, ale jak coś wrzucę do pola formularza, to odczytanie tego i wysłanie sztucznie" będzie chyba równie łatwe ?
Cytat
Musisz walidować dane od użytkownika i tyle. Koniec zabezpieczeń.
Ale z czym mam walidować? Użytkownik może uzyskać od x do y punktów, ale zamiast zagrać naprawdę, wysyła sobie poprzez POST wymyśloną ilość punktów.
No tyle jest gierek w JS w internecie, że chyba musi być jakaś metoda... ?
Z czym? Z możliwymi granicami wyników. W sieci jest tyle gier ale żadna nie daje 100% bezpieczeństwa przed sfałszowanymi wynikami.
Cytat
że wydaje mi się, że raczej z jakiegoś prostego acz popularnego narzędzia korzystają.
cURL jest prostym i popularnym narzędziem.
Cytat
Nie wiem czy dobrze zrozumiałem, ale jak coś wrzucę do pola formularza, to odczytanie tego i wysłanie sztucznie" będzie chyba równie łatwe ?
Skoro wysyłasz to przez JS, to jaki masz problem przechowywać ten klucz w zupełnie innym miejscu niż formularz? JS-em dodasz to pole w trakcie wysyłania.
Cytat
że chyba musi być jakaś metoda... ?
Nie ma i nie będzie 100% zabezpieczeń.
Sprawdzanie poprawności tekstu i obliczanie ilości punktów po stronie użyszkodnika to bardzo zły pomysł. Właśnie od tego jest php, sprawdź po stronie serwera i po sprawie - nikt raczej nie sfałszuje, bo wysyłasz tylko tekst.
OK, dzięki Wam, muszę to przemyśleć 
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.