- 1 : 2021/08/21(土) 00:41:01.536 ID:aluxeKbJ0
今phpの入門書を読んでる最中なのだが
まずphpファイルの中でhtmlの基本的な構造を作る
これをAファイルとする
そのファイルの中から別のphpのファイルBのコードを呼び出すというのが本に書いてる
ここで疑問なのだが誰かがAファイルをコピーして自分に都合のいいように改造して
Bにアクセスするということは可能なんだよね?
俺はゲーム作りを予定してるのだがこういう場合Aはプレイヤーが何を入力しても
おかしくならないような仕組みに作るべきということなんだろうか?
- 2 : 2021/08/21(土) 00:42:25.282 ID:nMVxAEivd
ちょっとわかりにくいからポケモンで例えて
- 5 : 2021/08/21(土) 00:43:10.010 ID:aluxeKbJ0
>>2
むりw
- 3 : 2021/08/21(土) 00:42:48.525 ID:orotwW6g0
3行
- 4 : 2021/08/21(土) 00:43:04.255 ID:U+A9eNMx0
当たり前
- 9 : 2021/08/21(土) 00:43:44.717 ID:aluxeKbJ0
>>4
やっぱり?
- 6 : 2021/08/21(土) 00:43:23.597 ID:hzj01QRY0
どんな風にアクセスされてもいいようにBを作るんだよ
Aにとんな制御入れても意味ないから
- 11 : 2021/08/21(土) 00:44:18.627 ID:aluxeKbJ0
>>6
そうなのか
ありがとう
- 7 : 2021/08/21(土) 00:43:27.535 ID:HNDDArMbr
ブリゴク
- 8 : 2021/08/21(土) 00:43:40.415 ID:1g5F3qeq0
結果的に動けば何してもいいだろ
- 10 : 2021/08/21(土) 00:43:51.291 ID:wSBPbz5Xr
やろ!
- 12 : 2021/08/21(土) 00:45:33.977 ID:Ji9w9mdma
特定の条件でしか動かさないようにするんだよ
- 15 : 2021/08/21(土) 00:47:21.045 ID:aluxeKbJ0
>>12
それはB側でチェックするということ?
- 13 : 2021/08/21(土) 00:45:43.233 ID:Y9lEP3MJ0
まともに読んでないけどサーバーに元々保持してるHTMLに対してブラウザ上で解釈されたHTMLはコピーなのでこれを改ざんしても基本的にサーバー側には影響がない
サーバーはHTML自体を受信することはない
- 16 : 2021/08/21(土) 00:48:31.033 ID:aluxeKbJ0
>>13
ブラウザからBを呼び出すのがphpの基本的な仕組みみたい
- 22 : 2021/08/21(土) 00:52:03.740 ID:Y9lEP3MJ0
>>16
ブラウザ上では基本的にJS以外の処理は動いてない
- 14 : 2021/08/21(土) 00:45:49.716 ID:vzkpJm1wr
やってるけど
- 17 : 2021/08/21(土) 00:48:56.270 ID:rPizv4kf0
CORS制限がどうのこうの
- 23 : 2021/08/21(土) 00:52:51.552 ID:aluxeKbJ0
>>17
それよくわからないのだが、元々webページって同じサイトからしかアクセスできないの?
- 18 : 2021/08/21(土) 00:49:04.189 ID:Zrf6z2Ip0
よくPHPとかうんこ言語やるな
- 19 : 2021/08/21(土) 00:50:30.260 ID:QOiYeq9z0
プリプロセッサが解釈したHTMLが出力されるからブラウザからは見えんぞ?
- 27 : 2021/08/21(土) 00:55:28.090 ID:aluxeKbJ0
>>19
>>22
リクエストを出してphpを呼び出すと書いてる
- 32 : 2021/08/21(土) 00:58:18.216 ID:Y9lEP3MJ0
>>27
基本的に正規のページを介さずにURLを叩いた場合に
それがリクエストとして認識されるならそれは脆弱性になる
PHPうんぬんは関係ない
- 38 : 2021/08/21(土) 01:00:15.810 ID:aluxeKbJ0
>>32
それは通常はエラーになるんですか?
- 39 : 2021/08/21(土) 01:01:03.329 ID:Y9lEP3MJ0
>>38
なるというかする
がんばって正規のリクエストかどうかを判定して
- 40 : 2021/08/21(土) 01:03:38.119 ID:aluxeKbJ0
>>39
正規のリクエストとして判定するのは難しそう
B側で考えた方が簡単そう
- 20 : 2021/08/21(土) 00:51:49.619 ID:rrXO4tpI0
jwt
- 29 : 2021/08/21(土) 00:56:21.793 ID:aluxeKbJ0
>>20
よくわからん
どういうものなのそれ?
- 21 : 2021/08/21(土) 00:51:58.091 ID:wq5zBmSGr
日本人お断り!って女いたな
- 24 : 2021/08/21(土) 00:53:47.472 ID:Zrf6z2Ip0
クロスオリジンだろ
別のサイトから別のサイトに対してリクエストとかを送信できないんだっけな
セキュリティ対策だぞ
- 30 : 2021/08/21(土) 00:57:00.337 ID:aluxeKbJ0
>>24
>>26
「同じサイト」の定義ってどんなものなんですか?
- 31 : 2021/08/21(土) 00:57:13.382 ID:oPsshF4S0
>>30
ドメインが同じ
- 34 : 2021/08/21(土) 00:59:31.146 ID:aluxeKbJ0
>>31
なるほど
それ以外からのアクセスだとシステム的にエラーになるわけか
- 25 : 2021/08/21(土) 00:53:50.688 ID:rtqySErQr
すぐ使わなくなるよ
- 28 : 2021/08/21(土) 00:55:34.048 ID:7LptfnaHr
酷すぎる
- 33 : 2021/08/21(土) 00:58:18.244 ID:Zrf6z2Ip0
おれもCORSに結構妨害されたわ
- 35 : 2021/08/21(土) 00:59:37.142 ID:Ez3/hzKPr
ツー…ポンッ!
- 37 : 2021/08/21(土) 00:59:49.181 ID:EabA2R3zr
クレカの番号同じでもいけたっけ?
- 41 : 2021/08/21(土) 01:03:46.639 ID:lKJ+arqor
さっき久々に入れて見てみたらAランクだった!
- 42 : 2021/08/21(土) 01:05:55.447 ID:Y9lEP3MJ0
そらそうだゲームのサイコロを振るならサーバー側で振るんだ
当たり前の話
- 43 : 2021/08/21(土) 01:09:01.790 ID:aluxeKbJ0
>>42
それはわかる
ただA側でも例えば敵に攻撃が当たってるか的な判定をしたいケースもあると思う
phpはそういうのに向いてないだろうからこれは例え話だけど
- 45 : 2021/08/21(土) 01:12:15.883 ID:Y9lEP3MJ0
>>43
サーバーは一つ一つの衝突判定を受け取る必要はないし、受け取っても処理しきれないから、
別のリクエスト単位、トランザクションを考えないといけない。
それがサーバー側で検証可能であればよい。
- 50 : 2021/08/21(土) 01:17:53.948 ID:aluxeKbJ0
>>45
衝突検知的なリアルタイム処理はnodeとかソケットを使うというのが俺が知ってる知識です
- 53 : 2021/08/21(土) 01:20:51.511 ID:Y9lEP3MJ0
>>50
普通衝突判定って言ったら毎フレームごとだからいらないよ
- 44 : 2021/08/21(土) 01:11:42.718 ID:F+fnzTfj0
何作ってるのかよくわからんけど基本的にはセッションって仕組みを使う
Aにアクセスした際に一意のコードを発行してブラウザのcookieなり何なりに保存して
B側でそのコードの有無とか整合性をチェックする
まともな教本ならどこかに書いてると思うが
- 46 : 2021/08/21(土) 01:14:20.850 ID:kogfRFnj0
>>44
これ
- 47 : 2021/08/21(土) 01:14:52.553 ID:aluxeKbJ0
>>44
Aを偽造して偽AとBとの間でセッションが成立してしまわないか?という疑問をもってます
- 49 : 2021/08/21(土) 01:17:24.787 ID:F+fnzTfj0
>>47
成立しないようにするのが君のお仕事
ただphpのセッション機能は余程タコな実装しない限りそう簡単には乗っ取れないぞ
自分で試しにやってみればいい
- 52 : 2021/08/21(土) 01:18:35.735 ID:aluxeKbJ0
>>49
なるほど
- 48 : 2021/08/21(土) 01:14:59.829 ID:0HYCMlszr
グーグルだろ
- 51 : 2021/08/21(土) 01:18:16.934 ID:kogfRFnj0
まずは一意のセッションか何かを発行してみようか
- 54 : 2021/08/21(土) 01:22:43.308 ID:yzoWrxdu0
サーバ側のファイルをクライアントがいじれるのは設計がダメだろ
論外
- 55 : 2021/08/21(土) 01:24:05.633 ID:aluxeKbJ0
あのう
セッションIDって上の例で言えばBが発行するんですよね?
偽AがBにアクセスした時にセッションIDの発行もされてしまうんじゃないの?
- 56 : 2021/08/21(土) 01:24:11.693 ID:nGhQEhFer
うふふうぇーい!!
- 57 : 2021/08/21(土) 01:24:21.899 ID:nIHQIig+r
ガチャ1連最高レア0.1以下のクソアプリですわ
- 58 : 2021/08/21(土) 01:25:55.345 ID:kogfRFnj0
何を言ってるんかさっぱりなんだが
意図しない場所からアクセスされた場合はエラーメッセージとかトップページに遷移させればいいだけじゃね?
- 59 : 2021/08/21(土) 01:26:00.343 ID:KBbWIU7Qr
他人が作ったちんこサーバーに入れてもらえば
VIP
コメント