Q&A
https://teratail.com/questions/349677
お世話になります。
Unreal Engine4でデータベースへ接続できるプラグインを探しているのですが
どれもクライアント側にデータベースへの接続に必要なユーザ名やパスワードを記載する方法を採用しています
そもそもアプリ側に重要な情報を記載するのは危険だとおもうのですが、、、
ゲーム開発でもWebAPIを使ってデータベースへアクセスした方が良いでしょうか
どんなゲームなのか要件ないままに答えられるものではないです。設計も決まってないのに手法の検討はできません。
見ているのは全く事情の知らない赤の他人。あなたの行く末を最初から最後まで隣で見守る人ではないです。
回答2件
0
大概のデータベースにアクセスするには、ID・パスワードが必要です。
スタンドアローンのゲームならば、ゲーム内のどこかに持つことになるでしょう。
危険と言われようとなんだろうと「インストール後、プレイするのにネットワーク環境を必要としない」と謳うゲームならば、他に方法はありません。必ずユーザーの手元にID・パスワードがあることになります。
対していわゆるネットゲーの場合、根本的にクライアントが自由にSQLを発行することができるという時点で何か間違っていると思うべきではないでしょうか。
WebAPIを使おうが、独自の通信形式にしようが、クライアントサイドで作ったSQLをサーバーに送信して実行するような仕組みは、データを破壊してくれと言っているようなものです。
一般的にはコマンドとかメッセージを定義し、それを介してしかデータベースにアクセスできないように作るものと思います。
投稿2021/08/15 15:45
総合スコア509
ご連絡ありがとうございます。
という事はネットゲームの場合ははPHP側でInsertやSelectなどの処理を作り
UWP側は値を送信するだけという事でしょか
Insertしたい場合
UWP->PHPのInseet処理記載のページへWebAPIにて値のみを渡す
みたいな感じでしょうか
private async void test(object sender, RoutedEventArgs e)
{
string CurrentVersion = "1.0.0";
var hc = new HttpClient();
var dic = new Dictionary<string, string>();
dic["CurrentVersionValue"] = CurrentVersion;
var cont = new FormUrlEncodedContent(dic);
var url = "http://localhost/ck_version";
var req = await hc.PostAsync(url, cont);
var html = await req.Content.ReadAsStringAsync();
if (html.Contains("Success"))
{
}
}
値を渡す為のURLもクライアント側に記載していますがこれも危険なのでしょうか
0
ベストアンサー
Unreal Engine4でデータベースへ接続できるプラグインを探しているのですが
どれもクライアント側にデータベースへの接続に必要なユーザ名やパスワードを記載する方法を採用しています
そんなプラグインがあるんですね。多分ですが、特別な用途で使うものじゃないでしょうか? 不特定多数の人に遊んでもらうゲームのゲームデータを保存したり参照したりするためのものではない気がします。たとえばアプリ内のローカルにデータベースを置いて、ローカル用途でのみ使うとかじゃないでしょうか?(そのプラグインの詳細を知らないので、違っていたらごめんなさい)
そもそもアプリ側に重要な情報を記載するのは危険だとおもうのですが、、、
ゲーム開発でもWebAPIを使ってデータベースへアクセスした方が良いでしょうか
扱うデータによりけりだと思いますが、不特定多数の人にあそんでもらうゲームであるなら、WebAPIを使うなりするしかないでしょう。ゲームクライアントから(ローカル以外の)データベースを直接触らせるようなことはまずありえないと思います。理由はishina_yumさんとほぼ同じです。(WebAPIに関するところだけはちょっと違いますが。安全なWebAPIを作れば問題ありません)
投稿2021/08/15 15:58
編集2021/08/15 17:07
総合スコア4549
ご連絡ありがとうございます。
現状作成したWebAPIなのですがこんな感じで問題ないでしょうか?
private async void test(object sender, RoutedEventArgs e)
{
string CurrentVersion = "1.0.0";
var hc = new HttpClient();
var dic = new Dictionary<string, string>();
dic["CurrentVersionValue"] = CurrentVersion;
var cont = new FormUrlEncodedContent(dic);
var url = "http://localhost/ck_version";
var req = await hc.PostAsync(url, cont);
var html = await req.Content.ReadAsStringAsync();
//かえってきた値にSuccessが含まれていたら
ログイン処理の場合は次のページに移動するなどの処理をする
if (html.Contains("Success"))
{
}
}
値を渡す為のURLもクライアント側に記載していますがこれも危険なのでしょうか
WebAPIの具体的な実装方法まではお伝えできないですが、たぶんそれでは問題はあります。たとえば値の作成、更新、削除などを行うようなWebAPIを何も考えなくそのまま投げてしまうと、知識がある人がその通信内容をパケットキャプチャーして解析するなりすれば、好き勝手に値を書き換えてサーバ上のデータを改ざんできてしまう危険性が発生します。なのでハッシュ値などをつかって都度サーバ側でWebAPIが偽装されていないかなどを検証する必要があります。
参考)
https://www.slideshare.net/ssuser741a3c/ss-62940759
https://www.84kure.com/blog/2014/08/20/php-web%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%82%92%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E8%AA%8D%E8%A8%BC%E3%81%99%E3%82%8B/
やり方はこれ以外にも色々あるのですが(認証方式など)、サーバにデータを保存してるようなゲームはほぼ間違いなくこれに近い感じの仕組みは入っています。ということで、その辺も考慮してサーバを使うかどうかを検討してください。
ありがとうございます。
確認させて頂きます
huge thank you!!
お世話になっております。
頂いたご回答への質問になってしまうのですが
受け取った値をサーバー側のPHPで必ずhtmlspecialchars()関数で特殊文字を変換しているのですが
htmlspecialchars()を使っていてもWebAPIではハッシュ化した方が良いのでしょうか
ハッシュした方が良いのはもちろんの事ですがなかなか難しいので
例えばハッカーが改ざんしたデータをサーバーに送ってもhtmlspecialchars()で特殊文字を
無効にすれば応急処置ではないですが問題ないのかなと思っているのですが、、
htmlspecialchars()を使って特殊文字を変換するのはいいことだと思いますが、WebAPIの偽装のような悪意がある行為に対してははまったく効果はないですね。参考サイトの二つ目のリンクでハッシュを付与している意味をしっかり考えていただくと分かります。クライアントとサーバで何かしら「秘密の計算式」を共有して、それを都度突き合わせることで偽装を防いでいますので(実はこの参考サイトの説明でも場合によっては偽装を防げないので完全ではないのですが、偽装を防ぐ考え方の参考にはなります)、htmlspecialchars()ではおそらく何の効果も得られないでしょう。
ただ、これまでは触れませんでしたが、WebAPIが偽装されても仕様的に問題ない、もしくは偽装されても問題ない設計をしている、とかであればハッシュを付与する必要はないです。ということで、ハッシュを付与するかどうかは状況次第とも言えます。今回の質問内容だと完全に範囲外だと思いますので、そのへんで分からないことがあれば、いったんこの質問をクローズして別の質問にした方がいいかもしれませんね。
ありがとうございます。
あなたの回答
tips
プレビュー
