======协议安全======


=====1/用户凭据=====

====1.1凭据生成和使用====

我们采用access_token 来认证用户\\
具体方法是在登陆成功验证账号密码，或成功登陆角色后，为角色账号分配一个token

accout_token 是账号用的

access_token 是角色用的

登录token在协议中会以参数或者header的形式传送

<code csharp>
            headers.Add("character_access_token", DataStorage.Instance.my_character_info.access_token);
          getData = new WWW(url, webForm.data, headers);
</code>

====1.2 GM的快速入口====

GM可以有以下伪造凭据的特权

* 直接在协议中以参数形式输入access_token

**示例用法**

<code php>
http://114.55.218.242:8081/AddItem.php?id=1&num=10&access_token=wyf&ignore_bz=1
</code>

* 直接在协议中议参数形式输入character_id

**示例用法**

<code php>
http://114.55.218.242:8081/AddItem.php?id=1&num=10&gm_character_id=323&ignore_bz=1
</code>

=====2/GM特权=====

====2.1GM判断依据====
GM基于登录IP进行判断 ，只有我们公司的外网出口的IP//180.169.115.26//才可以执行GM相关的指令
//挂VPN的同学注意及时切换//

GM相关指令在[[generated::protocol_list#gm|Protocol_gm]]中 

====2.2GM相关接口安全====

服务器的测试功能，GM专用功能都需要使用以下方式保证安全

<code php>
	if(!game_get_is_gm())
	{
		SendToClient_ErrorCode(4321);//你不是GM
		return;
	}
</code>

=====3/协议阻塞和重试确认=====

====3.1 协议预期====

客户端发起协议，我们会有几种不同的预期，以保证逻辑正确 [[generated:PROTOCOL_BLOCK]]


* 0/ 发出此协议后，即使没有服务器返回，也可以进行任意操作。

比如 状态同步[[generated:SyncAttrib]]

* 1/ 发出此协议后，在服务器返回前，不接受任何点击请求。直到服务器返回之后才可以进行下一步操作和逻辑。
    
比如 道具操作 [[generated:SellItem]]

* 2/ 发出此协议后，在服务器返回前，客户端其他逻辑也等待结果，不进行战斗和其他自动逻辑。
   
比如 战斗完成 [[generated:EndBattle]]

* 3/ 发出此协议后，在服务器返回前，客户端其他逻辑和画面都卡顿，战斗画面完全禁止。
   
比如 转生操作 [[generated:Reborn]]

====3.2 客户端表现====

除第一种之外，客户端都需要有画面表现

一般来说，遮挡一个透明蒙板，保证不会点击到UI。\\
并在一定时间(1秒)还未返回之后呈现为半透明黑灰色，并显示“连接中...”字样 \\
不要第一时间就 半透明遮挡是为了在网速顺利的情况下，不要频繁出现这个遮挡影响用户体验。\\
协议成功完成后，移除此界面

客户端UI需要以下方法:\\
<code csharp>
     float fadeOutTime=1.0f;
     int panelOverlapCount = 0;

     //添加一个遮挡页面，阻止所有UI操作，经过fadeOutTime之后呈现半透明全屏遮挡并呈现“连接中"字样
     AddBlockPanel();

      //移除遮挡页面
     removeBlockPanel();
</code>

调用AddBlockPanel时，对panelOverlapCount进行自增， 如果已经有一个遮挡页面存在，也不重新创建新页面，

调用removeBlockPanel时，对panelOverlapCount进行自减， 知道计数为零的时候，移除页面.

同理还需要 AddLogicLock, 和 AddGraphicLock的方法，对游戏逻辑和游戏画面进行锁定.


====3.3 协议不成功的情况处理====

协议不成功的情况分两种：404和其他（逻辑）

协议还有个配置项叫重试规则 [[generated:PROTOCOL_RETRY]]

- 0：不重试

- 1: 404状态重试

- 2：所有错误重试（不推荐）

当错误发生时，协议会按配置进行重试操作。并不移除阻止panel

=====4/ Mysql防注入=====

====4.1 php关于Mysql字符串通用转义方法====


<code php>
     $account= mysql_real_escape_string($account);
     $password= mysql_real_escape_string($password);
     $sql = "SELECT * FROM users WHERE account='$account' AND password='$password'";
</code>

参考：http://www.w3school.com.cn/php/func_mysql_real_escape_string.asp

======备注======

    如果升级php7，mysql extension将被移除。mysql相关的方法都要替换成 mysqli 或 PDO_MYSQL 的方法。
    
    
=====5/ 协议消耗分析=====

[[generated:protocol_stat_info]]

在ProtocolHandle.php 进行统计