在线迷你游戏的安全web语言？

Question

我见过不少用Javascript (Blackjack等)创建的较小的在线游戏。虽然它们中的一些非常整洁，但它们似乎并不安全，因为Javascript是在客户端呈现的。在看一些我想创建的游戏，并考虑长期使用付费/用户帐户时，我想我需要一些更安全的东西，其中某些游戏逻辑对最终用户隐藏。

有什么推荐的web语言/技术可以满足这一要求吗？最好是开源/免费。Flash是最好的选择吗(不是开源的)？我目前在标准HTML/CSS/Javascript和PHP方面拥有最丰富的经验。

只是在寻找点子。

谢谢!

Answer 1

在处理安全性时，您总是必须定义什么是安全。如果你正在经营一个赌博网站，你当地的博彩委员会可能在这方面有一些发言权。如果你只是为了好玩而运行一个多人游戏，那么你可以对你的定义更加宽松(假设偶尔的作弊不会毁了一天)。

一般来说，如果你想完全防止终端用户干扰游戏，所有的实际工作都必须在你控制的服务器上进行。这意味着PHP、ruby、perl、python、Java等等。使用flash、javascript或html5前端，您必须假定它们会产生不值得信任的数据，即使这些数据是精心制作的。

为了尽量减少恶意玩家向服务器发送巧尽心思构建的假数据的影响，您应该使用服务器端语言来处理缓冲区大小/边界检查和输入参数的清理。我经常使用PHP，它会自动处理边界检查，就像大多数脚本语言一样。PHP不会自动清理在客户端输入的数据，但是有很好的字符串操作工具，所以我可以自己做。要小心处理用户可能输入的撇号、html标记和javascript，以防止Sql注入( http://en.wikipedia.org/wiki/SQL_injection )和跨视点脚本攻击( http://en.wikipedia.org/wiki/Cross-site_scripting )。将所有的'，<，>转换为字符代码是一个很好的开始，但您应该深入研究这个主题。为了帮助应对跨站点脚本攻击，您应该忽略来自其他域名的请求，除非您有特殊需要。

对于所有的编程问题，请仔细考虑，并尽可能多地使用不同的数据进行测试。

Answer 2

在这里，您最好的选择是在服务器端保护您需要的处理，并验证来自客户端的任何内容。

无论你的前端是javascript，Flash，还是其他任何东西--当它告诉后端“玩家刚刚翻过一张牌就得到了21点”时，你需要能够在服务器上确认玩家现在可以翻过一张牌并得到21点。

就技术而言，使用你所知道的- PHP会很好，你只需要确保你正在对用户输入进行检查。