Запись в базу из игры через php запросы безопасно?

Question

[Андрей]

Здравствуйте! Хочу в игре делать сохранения параметров персонажа в базе данных, но так как не умею делать сервера через которые это всё могло бы посылаться, хочу прям из клиента с помощью форм на php скрипт отправлять данные и заносить в базу данных MySQL, это безопасно или даже не стоит в эту сторону смотреть? Спасибо.

Comments

[Дмитрий]

Все что приходит с клиента надо фильтровать и приводить к типам, и вставлять в бд через подготовленные выражения

[Андрей]

Дмитрий,

В Php у меня примерно такой вид, это верно?

<?php
include("Common.php");

$login = safe($_POST['login']);
$nick = safe($_POST['nick']);
$method = safe($_POST['method']);
$data1 = safe($_POST['data1']);

$link=dbConnect();

$check = mysql_query("SELECT * FROM characters WHERE `login`= '$login' AND `nick` = '$nick' ") or die(mysql_error());
$numrows = mysql_num_rows($check);
if ($numrows != 0 )
{	                    
            if($method == "ChangeGold") 
            {  
                // Process
                mysql_query("UPDATE `characters` SET `gold` = `gold` + '$data1' WHERE `login`= '$login' AND `nick` = '$nick' ");
                
                // Response
                echo "Response"; echo ","; echo "OK"; echo ",";
            }
            
            
}
mysql_close($link);
?>

[Дмитрий]

AkaruZ, ну для начала надо посмотреть что у вас делает функция save, старый мускул перед вставкой обязательно экранировать через mysql_escape_string , лучше перейти на PDO или хотя бы на Mysqli, там есть из коробки подготовленные выражения

[Владислав Лысков]

mysql_query давно устарел, удалён и не поддерживается, см в сторону PDO

[Андрей]

Владислав Лысков, Сейчас начну смотреть, спасибо.

Answer 1

[Alex Maximovich]

Да, вполне, много игр крупных компаний работают по такой схеме, запрос с клиента на сервер. Только, как правильно заметили, было бы не плохо защититься от подделки запроса либо его шифрованием, либо придумать алгоритм подписи запроса, считать какой-то хеш на клиенте и передавать его с запросом серверу, там сервер пересчитывает его и сравнивает.

Answer 2

[Олег Семенов]

Я бы посмотрел в сторону API на стороне сервера, так как хранить авторизацию к базе на клиенте не слишком безопасно как я думаю.

Answer 3

[freeExec]

Если вы клиенту даёте доступ к базе, то что ему мешает сразу себе написать +100500 денег и удалить всех остальных игроков?

Comments

[Андрей]

Это же не совсем прямой доступ к базе?

удалить всех остальных игроков?

Отсутствие такой функции в php, не?

[freeExec]

AkaruZ, у вас написано "прямо из клиента ... заносить в базу". Если у вас php крутить на сервере (хотя вы утверждаете, что у вас нет сервера), то это одно. Если php работают на клиенте, то это дыра и совсем другой расклад.

[Андрей]

freeExec, php у меня лежат на хостинге скажем так, я не знаю насколько это можно называть серверов(я думаю, что нет), самих php в клиенте нет, из клиента только запросы уходят.