我有一个网站,用户可以在他们认为会赢的指定硬币上下注
我有TT(1-7),CT(8-14)和DRAGON(0)。漂亮的轮盘赌。
所以,基本上,我网站上的用户可以右键单击>检查元素>控制并粘贴此命令:send({"type" : "bet", "amount": "1e+2", "lower": 1, "upper" : 7, "round" : ROUND});
执行时,此命令将在TT(即1-7)上下注金额1e+2(无效)
网站将显示仅1信用卡的赌注,但实际上它们实际上只是1e+2金额。此外,如果他们获胜,他们将获得15000多个积分,2个积分,因为TT和CT币只是你的下注量的两倍,而DRAGON则是14倍。
有没有办法禁用控制台,禁用控制台输入,或类似的东西?我知道它的可修复性,只是不确定在哪个方向。
编辑:附加信息:
当用户尝试在有效路上下注1e+2金额时,使用我网站上的输入框,它会说它不是有效金额,但是对于控制台它不起作用。此外,不仅1e+2他们可以像2e+51那样做,或只是一些随机数字和符号。
答案 0 :(得分:1)
您必须在服务器上检查发送的请求是否有效。始终假设每个客户都试图攻击你。客户端输入可以很容易地改变。
编辑:在PHP中,您可以像这样验证输入:
if(preg_match("[0-9]", $sent_input) {
// valid input, execute the code
} else {
die("Invalid input");
}