停止机器人快速发送多个请求。 PHP + AJAX

Question

我遇到了一个问题，他一直在用机器人利用我的投注网站。他能够（大概）使用机器人非常快速地多次按下“滚动”按钮并获得相同的滚动编号。

滚动按钮使用函数来工作。这是这个函数：

var rolling=false;
var lastBet=(Date.now()-<?php echo $settings['rolls_mintime']; ?>-1000);
function place(wager,multiplier,bot) {
  if ((rolling==false && (Date.now())>=(lastBet+<?php echo $settings['rolls_mintime']; ?>)) || bot==true) {
    rolling=true;
    lastBet=Date.now();
    $("#betBtn").html('ROLLING');
    if (bot!=true) _stats_content('my_bets');      
    $.ajax({
      'url': './content/ajax/place.php?w='+wager+'&m='+multiplier+'&hl='+under_over+'&_unique=<?php echo $unique; ?>',
      'dataType': "json",
      'success': function(data) {
        if (data['error']=='yes') {
          if (data['data']=='too_small') alert('Error: Your bet is too small.');
          if (data['data']=='invalid_bet') alert('Error: Your balance is too small for this bet.');
          if (data['data']=='invalid_m') alert('Error: Invalid multiplier.');
          if (data['data']=='invalid_hl') alert('Error: Invalid under/over specifier.');
if (data['data']=='invalid_bts') alert('Using bots, tut tut.');
          if (data['data']=='too_big_bet') alert('Error: Your bet is too big. Currently max profit is set at: '+data['under']+' this represents 1% of the invested backroll.');
        }
        else {
          var result=data['result'];
          var win_lose=data['win_lose'];
          if (win_lose==1) winCeremonial();
          else shameCeremonial();
        }

这个函数然后会导致 php 文件。这是它的标题：

if (empty($_GET['_unique']) || mysql_num_rows(mysql_query("SELECT `id` FROM `players` WHERE `hash`='".prot($_GET['_unique'])."' LIMIT 1"))==0) exit();

$playerinv=mysql_fetch_array(mysql_query("SELECT `id`,`playcoins`,`time`, `ex`, `server_seed` FROM `players` WHERE `hash`='".prot($_GET['_unique'])."' LIMIT 1"));
$random = base64_encode(openssl_random_pseudo_bytes(10));
$setstring = $random;
mysql_query("UPDATE `players` SET `string` = '$setstring' WHERE `id`=$playerinv[id] LIMIT 1");
$playersec=mysql_fetch_array(mysql_query("SELECT `string` FROM `players` WHERE `hash`='".prot($_GET['_unique'])."' LIMIT 1"));

if ($setstring != $playersec['string']) {
echo json_encode(array('error'=>'yes','data'=>'invalid_bts'));
exit();
}

$newSeed=generateServerSeed();
mysql_query("UPDATE `players` SET `server_seed`='$newSeed' WHERE `id`=$playerinv[id] LIMIT 1");

$settings=mysql_fetch_array(mysql_query("SELECT * FROM `system` LIMIT 1"));

$player=mysql_fetch_array(mysql_query("SELECT * FROM `players` WHERE `hash`='".prot($_GET['_unique'])."' LIMIT 1"));
$player['server_seed_']=$player['server_seed'];
$player['server_seed']=(double)substr($player['server_seed'],27);

正如您从一开始所看到的，我尝试通过生成一个专属于该运行的随机字符串 ($setstring)、存储它然后将其与自身进行比较来创建一个解决方法。然而不知何故，他设法以足够快的速度运行它，也克服了这个问题。

$newseed 是具有卷号的变量。如您所见，通常每次运行时都会生成一个新的。我通常对他如何做到这一点感到困惑，因为我认为每个 php 文件都是单独运行的。

谁能帮助提供一些见解或解决方案！例如，有人建议我使用事务封装，但不确定如何实现。感谢您抽出宝贵时间。

Answer 1

我假设这种攻击是由于多线程而起作用的。由于随机交错，触发许多请求会使您的代码行为异常。

一个简单的例子是银行：

假设您想从您的帐户中扣除 20 美元：

$amount = q("SELECT * FROM accounts WHERE id = $account_id");
q("UPDATE accounts SET amount = $amount - 20 WHERE id = $account_id");

如果您以 100 美元开始，然后运行此代码两次，您预计最终会得到 60 美元。但是，如果线程交错发生在 select 和 update 调用之间，两个线程都将读取 100 美元，因此它们都将更新为 80 美元。

$setstring 的思路是正确的，但您需要更强大的东西。您需要查看锁定。

$lock = acquire_lock("foo");
$amount = q("SELECT * FROM accounts WHERE id = $account_id");
q("UPDATE accounts SET amount = $amount - 20 WHERE id = $account_id");
release_lock($lock);

锁可以通过多种方式实现。 PHP 甚至有一些特殊的功能和扩展。最简单的方法是使用文件锁。

function acquire_lock($name) {
    return fopen($name, "rw");
}
function release_lock($lock) {
    fclose($lock);
}

免责声明：我没有对此进行测试，我相信它应该在理论上可行：p

您可以使用以下脚本对此进行测试：

$lock = acquire_lock("foo");
sleep(30); // do nothing for 30 seconds
release_lock($lock);

然后尝试运行另一个脚本，该脚本也尝试获取foo 锁。它应该需要等待 30 秒。

Answer 2

您还可以在滚动按钮中实现simple debouncer using javascript，或易于实现的google captcha