Sto sviluppando un quiz con il quale puoi vincere alcuni fantastici premi. Quindi temo che qualcuno possa provare a modificarlo / manipolarlo.
Tutti i partecipanti devono essere loggati e il sito web prende 15 domande dal db, da loro a Javascript, che dipingerà quindi il quiz. Quando un utente finisce tutte le domande o risponde a una falso, il quiz effettua una chiamata Ajax al back-end e inserisce i punti nel db.
Per decidere quale risposta (ci sono sempre 4) è corretta, il quiz deve sapere quale è corretto. Questi dati sono forniti come stringa codificata Base64 e quindi decodificati in Javascript.
Domanda 1: Questo è sicuro? Ci sono modi migliori?
Sempre all'avvio del quiz, salvi l'ID del quiz nel database. Quando viene effettuata la chiamata Ajax finale, controllo tale id, controllo se le risposte date sono quelle associate al quiz (e l'ordine di esse), controllo un token (ce n'è uno nella sessione e uno in Javascript , entrambi generati in base al quiz e ad alcuni valori di sale, vengono generati usando md5, sha1 e substr in PHP)
Domanda 2: Questo è sicuro? Ci sono modi migliori? Mi sono perso qualcosa?