將文件寫入到Web服務器的安全方式

Question

我試圖獲得一個JavaScript函數來調用PHP函數來向我的Web服務器寫入文本文件，以便我可以在不使用數據庫的情況下爲我的遊戲存儲簡單數據。但是，這將允許隨機的人從控制檯調用該功能（通過按F12打開），並將文件寫入我的Web服務器。

有什麼辦法解決這個問題嗎？一切都錯了嗎？我必須從頭開始嗎？或者它是不可能的？

---

我當前的代碼：

的test.html：

<script src="js/php.js"></script> 
<button onclick="phpFunc('test.php', 'write(\'Hello, World!\')', alertText);">test</button> 

JS/php.js：

function getReq() { 
    var req = false; 
    if (XMLHttpRequest) req = new XMLHttpRequest(); 
    else { 
     try { 
      req = new ActiveXObject("Msxml2.XMLHTTP"); 
     } catch(e) { 
      try { 
       req = new ActiveXObject("Microsoft.XMLHTTP"); 
      } catch(e) { 
       return false; 
      } 
     } 
    } 
    return req; 
} 

function phpFunc(url, func, success) { 
    sfunc = func.split(")")[0].split("("); 
    rfunc = sfunc[0]; 
    rparams = sfunc[1]; 

    var req = getReq(); 
    if (!req) return false; 
    req.onreadystatechange = function() { if (req.readyState == 4 && req.status === 200) success(req.responseText); } 
    req.open("GET", url + "?t=" + Math.random() + "&func=" + rfunc + "&params=" + rparams, true); 
    req.send(); 
} 

function alertText(text) { 
    alert(text); 
} 

test.php的：

<?php 
    function write($text) { 
     $file = fopen("test.txt", "w"); 
     fwrite($file, $text); 
     fclose($file); 
    } 

    { 
     $func = $_GET["func"]; 
     $params = explode(", ", $_GET["params"]); 
     for ($i = 0; $i < count($params); $i++) { 
      if (is_numeric($params[$i])) $params[$i] = (int)$params[$i]; 
      else $params[$i] = str_replace(array("\"", "'"), "", $params[$i]); 
     } 
     call_user_func_array($func, $params); 
    } 
?> 

---

另外英語不是我的第一語言，所以我不知道是否一切都輸入正確。

Answer 1

永遠不要信任客戶端應用程序。

JavaScript應用程序比編譯的應用程序更容易濫用，因爲操縱JavaScript的工具更容易被更多人訪問。

如果可能，讓您的Web服務器接口只允許客戶端報告遊戲中採取的操作，並讓服務器負責確定並記錄結果。您也可以對客戶報告的操作應用「合理性」檢查。

您可以讓人們更難以使用JavaScript混淆作弊。這不是一個銀彈，但它會減少有能力利用JavaScript界面​​操縱遊戲的人羣。

Answer 2

認證將使其只有登錄的用戶才能訪問寫入文件。

您還可以驗證ajax發送的內容，以便只寫入您編寫的內容whitelist。