Защищенность коннекта к базе данных

[Volandpro]

У меня есть коннект к базе данных, выполняется запрос, все дела, но все написано в скрипте

Синтаксис:

Синтаксис: [ Показать ]

Используется csharp

string source ="Server=localhost; database=Test; uid=sa; pwd=123";
SqlConnection con= new SqlConnection(source);
con.Open();
string cc="SELECT * FROM account WHERE pass='"+pass+"' and login ='"+login+"'";
comand=con.CreateCommand();
comand.CommandText=cc;
IDataReader reader1=comand.ExecuteReader();

Мне кажется, что какой то умный юзер сможет залезть в код, и поменять запрос(ну или еще что-то) и будет очень плохо) Как этого избежать?)

[DbIMok]

не соединяться с базой из кода на клиенте, конечно.

[Volandpro]

Нет, ну это понятно, а где тогда соединяться?)

[DbIMok]

на сервере, где же еще

[Volandpro]

Так, я не понял) У меня есть игра, есть сервак с базой данных. При заходе в игру надо ввести логин и пароль. Я нажимаю на кнопку "Коннект" и....? И что там происходит?

[DbIMok]

происходит сетевое соединение с какой-то программкой на сервере. после проверки того, что этому клиенту (относительно) можно доверять, программка сообщает индивидуальный ключ для подписи сообщений. после этого ей с клиента посылается (условно) код операции (1 - логин), имя пользователя, пароль, подписанные (шифрованные) выданным ключом. серверная программка получает этот запрос и обращается с запросом к базе данных (которая снаружи конечно же не видна), потом выдает клиентской части подписанный ответ. и т.д. и т.п. а то вот логин/пароль (не в тексте, так в сетевых пакетах), вот база в инет торчит. куда ж это годится.

[Volandpro]

Ууууууу какая жесть, я думал все проще) То есть придется еще эту программку писать?)

[DbIMok]

можно и не писать, конечно. только зачем тогда спрашивать про защищенность?

[Woolf]

Ууууууу какая жесть, я думал все проще) То есть придется еще эту программку писать?)

Самое простое решение - это PHP скрипты на сервере. Вы с клиента вызываете скрипт с параметрами, читаете ответ. К примеру, так можно сделать авторизацию, получение каких либо данных об игроке (например, его деньги и оружие), поиск открытых серверов для подключения. Но, конечно, для серьезных серверных решений с авторитарным сервером это не подходит. Вот что-то типа контры - сделать вполне можно. Т.е. залогинились, получили данные по оружию/деньгам, нажали "в бой" и подключились к игроку-серверу. Дальше - сеть юнити. Небезопасно с точки зрения применения игроками читов, но система рабочая и многими используется.

[Volandpro]

Но ведь для пхп скрипта нужен сайт? И это через WWW придется делать?

[Woolf]

Но ведь для пхп скрипта нужен сайт? И это через WWW придется делать?

Ну конечно сервер нужен. А вы как хотели? Сетевую игру без сервера?

[Volandpro]

Не, ну сервер - это комп, где хранится БД, а сайт - это сайт) Ладно, тогда еще 1 вопрос. Например, у меня есть переменная level, мне нужно получать её из БД. Я обращаюсь к скрипту, он делает запрос к бд, возвращает это значение, и получается я пишу level=что-то, полученное из запроса.
Ведь кто-то же может написать level=over9000. Как получать переменные из БД безопасно?

[Woolf]

Не, ну сервер - это комп, где хранится БД, а сайт - это сайт) Ладно, тогда еще 1 вопрос. Например, у меня есть переменная level, мне нужно получать её из БД. Я обращаюсь к скрипту, он делает запрос к бд, возвращает это значение, и получается я пишу level=что-то, полученное из запроса.
Ведь кто-то же может написать level=over9000. Как получать переменные из БД безопасно?

Вам же сказали - не общаться с базой напрямую, а только через прослойку в виде отдельного сервера или скриптов пхп. К ним то никто доступ не сможет получить и что-то там поменять. А вот что-бы контролировать, что там мог подхимичить злоумышленник, скриптов недостаточно. Тут уже надо авторитарный сервер, который будет логику просчитывать. Вообще, вопрос защиты приложений от взлома очень обширный и до сих пор полностью не решен. Потому, что увы, но вынести абсолютно всю логику на сервер не получается. Всегда будут какие-либо читы. А вот минимизировать эти читы - вполне можно.

[Volandpro]

да да, я понял) но если мне нужно получить какую-то переменную из БД, как это сделать?)

[Good1101]

да да, я понял) но если мне нужно получить какую-то переменную из БД, как это сделать?)

Несколько раз уже объяснили, либо делаете запрос к пхп скриту на сервере через www класс который запрашивает базу данных и возвращает ответ, либо пишете программку которую запускаете на сервере, подключаетесь к ней клиентом через сокет, и тащите через нее все что нужно.