Bonjour à tous !
Avant de détailler ma question, j'explique un peu sur quoi je travaille
Je collabore à la création d'un jeu de création de ville. Pour construire certains bâtiments, des vérifications de technologies sont nécessaires.
Ces vérifications sont faites une première fois lors de l'affichage de la page (si les technos sont pas disponibles, le bouton de construction n'apparaît pas).
Bon je simplifie un peu, c'est juste pour que vous imaginiez.
En théorie, un joueur malintentionné pourrait copier mon code source généré et le bidouiller pour envoyer au serveur un ordre de construction bien que les conditions ne soient pas satisfaites.
Cependant, j'ai mis ce code en tête de toutes mes pages :
Code :
- <?php
- session_start();
- include("include/connexion.php" );
- $requete=mysql_query("SELECT session_id FROM jou_villes where id='".$_SESSION['id']."'" ) or die(mysql_error());
- $reponse=mysql_fetch_array($requete);
- if(isset($_SESSION['sessid']) && $reponse['session_id']==$_SESSION['sessid'])
- {
|
et ensuite tout le traitement, l'affichage...
la variable $_SESSION['sessid'] est générée lors de la connexion.
Donc théoriquement, ils ne peuvent pas envoyer leur propre formulaire...si ?
Du coup, ai-je besoin de vérifier qu'ils possèdent bien les technos lors du traitement du formulaire ?
Message édité par Bigcrunch le 31-08-2008 à 18:18:55