如何将AS3/Flash项目安全地绑定到数据库中？

Question

我正在为一个病毒营销活动创建一个游戏，大约每100个玩家中就有一个可以获得一个QR代码，用于一些独家的产品。游戏需要从数据库中提取和推送信息，因为游戏环境将随着时间的推移而“增长”。

我还没有决定如何做这件事，但我有两个想法，每一个都有他们的顾虑：

解决方案1:将SWF连接到数据库

关注事项:我以前已经解锁过SWF，这非常容易。如何保护我的数据库凭据不受此影响？

解决方案2:让SWF连接到查询数据库的.php脚本。这样，我的数据库连接凭据在php文件中是安全的.。

注意:但是，如何确保PHP脚本没有被自定义脚本访问？有人可以从SWF源获得php URL，直接访问它，绕过flash应用程序。

Answer 1

你得明白一件事。

任何客户端都可以，如果涉及到金钱，很可能会被黑客攻击。

尽管如此，安全是关于层的，涉及的层次越多，就越难被黑客攻击。

有许多方法，你可以使用和结合在一起，这将采取的图片，一般的swf黑客。

首先，我将永远不会在客户端存储敏感信息。(即:服务器编译的SWF)

如果你有数据，它可以被抓取/修改。

接下来，我将用公钥加密所有从swf发送到swf的数据。此密钥将经常过期。要获得密钥，swf必须传递用户凭据(登录)。

在服务器端，您可以通过会话跟踪用户。

可以使用持久连接添加套接字连接支持。

httsp，SSL，TSL

还有更多的选择可供选择。

是你的选择。

然而，真正的问题是你想走多远。

Answer 2

我会立即排除解决方案1，因为你所确定的原因。

那么，让我们来谈谈如何绕过解决方案2的问题。

我看到的是一种常见的处理方法，就是让服务器端脚本处理这些特殊项的生成。如果你看了很多在线闪存游戏，我相信你会同意flash几乎完全负责UI，其余的都由后端来处理。当然，这限制了你可以这样做的游戏类型。

还有另一种方法。如果可以由后端生成swf，则可以存储仅在有限的时间内良好的会话数据。当然，这不一定是存储所有游戏资产的swf，而仅仅是与后端通信所需的类。动态生成服务器交互swf将允许存储会话重要数据，并每次使用不同的密钥对其进行加密，这样，如果有人对其进行黑客攻击，就会限制他们可以使用它做什么，因为新会话将需要新的凭据。