Estou executando um site e existe um sistema de pontuação que fornece pontos pelo número de vezes que você joga um jogo.

Ele usa hash para provar a integridade da solicitação de pontuação de http, para que os usuários não possam alterar nada. No entanto, como eu temia que isso acontecesse, alguém descobriu que não precisava alterá-lo, só precisava obter uma pontuação alta e duplicar o solicitação http, cabeçalhos e tudo.

Anteriormente, eu tinha sido proibido de me proteger contra esse ataque porque era considerado improvável. No entanto, agora que aconteceu, eu posso. A solicitação http se origina de um jogo em flash e, em seguida, é validada pelo php e o php entra no banco de dados.

Tenho certeza de que os nonces resolverão o problema, mas não sei exatamente como implementá-los. Qual é uma maneira comum e segura de configurar um sistema nonce?