好的,所以我想从我的 Flash 游戏向我的网站发送 AJAX 请求来处理数据,但我不希望人们下载它们、反编译它们,然后发送虚假请求进行处理,所以我尝试找出处理 PHP 文件的最安全的方法。我的第一个想法是使用 Apache 内置的授权模块来要求用户名和密码来访问我网站的单独子域上的页面,但是无论如何您都必须在 AJAX 请求中包含该用户名和密码,这样看起来就不错了即使尝试也是毫无意义的。
我当前的选择看起来很有希望,但我想确保它能够发挥作用。基本上它只是检查使用 REMOTE_ADDR 发送的 IP 地址,以确保它是我的服务器运行的 IP 地址。
<?
$allowed = new Array("64.120.211.89", "64.120.211.90");
if (!in_array($_SERVER['REMOTE_ADDR'], $allowed)) header("HTTP/1.1 403 Forbidden");
?>
这两个 IP 地址都指向我的服务器。我担心的事情:
1) 如果我从 Flash/ActionScript 发送请求,是否会以任何方式影响 IP 地址?
2) 恶意用户是否有可能将通过 REMOTE_ADDR 发送的 IP 地址更改为我的 IP 地址之一?
您建议其他更安全的方法吗?
最佳答案
这些 IP 属于 NSFW。
请记住,如果有人反编译您的 Flash 应用程序,重新编译它,然后使用 Firebug 或类似工具将其放回您的网站,那么您当前的思维流中的所有工作都会被浪费。防止滥用的最佳方法是要求一次性使用您在初始化 Flash 游戏时发送的加密 token ,并在 POST 返回时要求。您还应该使用 SSL。但即便如此也无法阻止所有人。 Flash 游戏的安全性是出了名的困难。
关于php - 如何在 PHP 中更安全地处理 AJAX 请求?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2474596/