Estoy ejecutando un sitio web y hay un sistema de puntuación que te da puntos por la cantidad de veces que juegas.

Utiliza el hash para demostrar la integridad de la solicitud http de puntuación para que los usuarios no puedan cambiar nada, sin embargo, como temía que pudiera suceder, alguien descubrió que no era necesario cambiarlo, solo necesitaban obtener un puntaje alto y duplicar el solicitud http, encabezados y todo.

Anteriormente me habían prohibido proteger contra este ataque porque se consideraba poco probable. Sin embargo, ahora que ha sucedido, puedo. La solicitud http se origina en un juego flash y luego es validada por php y php la ingresa en la base de datos.

Estoy bastante seguro de que nonces resolverá el problema, pero no estoy exactamente seguro de cómo implementarlos. ¿Cuál es una forma común y segura de configurar un sistema nonce?