Sqlite的应用场景
在判断是否使用存储格式为Sqlite模式的标准,我们的标准是内容只读。也就是说,除非发布者修改Sqlite内容,玩家只有读取的权限。
换个角度说,Sqlite里面的数据都是游戏基础配置数据,比如游戏的关卡(不包括玩家取得的成就)、怪物的血量、装备的模板数据
对于如何使用Sqlite,请参考我的另外一篇文章《Unity本地数据存储---Sqlite和JSON》
问题重现
OK,既然我们选择了Sqlite作为存储手段之一,那么我们也嘚重视起安全性。
以android而言,我们发布个apk文件,修改后缀为rar,解压,打开文件夹,sqlite数据文件默认就在assets目录下。
其他人拿个sqlite管理工具,改改内容,比如新手乌木剑属性模板,攻击本来是1~5,改成99999~99999;OK,再重新压缩一个包,修改后缀为.apk。
嘚,破解版就这么出来了。
解决之道
保证数据安全性,我们第一个想到的就是加密数据内容
但对于使用sqlite保存配置数据,反而觉得对比MD5值更合适。
加密内容已经违背了使用sqlite(通用、简单)的初衷,因此我们选择所有的“配置数据”都用明文存储在本地,但是只要你篡改了数据,我通过MD5对比就可以侦测到。
加密算法,更多的是在保存玩家的核心数据上,比如将序列化后的json字符串加密,写入到本地文件。
OK,言归正传,讲下思路:
1:每次发布新版本的时候,重新计算下db文件的MD5,将其保存在某个位置
简单: 将计算出来的MD5值,赋值到某个常量
远程:将版本号和MD5值作为键值对,保存在远程服务端。用户发送一个版本号,服务器返回一串对应版本的MD5字符串。远程的话版本号是必须的。不然老的版本MD5值和新版本永远对不上,就废了。。
2:玩家运行程序的时候,计算db文件的得出MD5,和我们第一步保存的MD5做对比,如果一致,则运行游戏;否则认定db文件被篡改过的,你可以搭建一个远程db下载。也可以粗暴的提示用户,文件格式损害,然后给出个下载链接。
因为本人实际项目中的db文件很小(还没做装备属性模板,预计最多也就百来K吧),所以计算MD5值不会耗费多少资源
奉上MD5计算类
using System.IO; using System.Security.Cryptography; using System.Text; /// <summary> /// 文件MD5计算器 /// </summary> public class FileMD5Helper { #region 公共方法 /// <summary> /// 计算文件的md5值,返回大写格式 /// </summary> /// <param name="url"></param> /// <returns></returns> public static string GenerateFileMD5Upper(string url) { if (File.Exists(url) == false) return string.Empty; byte[] fileByte = File.ReadAllBytes(url); if (fileByte == null) return string.Empty; byte[] hashByte = new MD5CryptoServiceProvider().ComputeHash(fileByte); return byteArrayToString(hashByte); } #endregion #region 私有方法 /// <summary> /// 输出数据的十六进制字符串 /// </summary> /// <param name="arrInput"></param> /// <returns></returns> private static string byteArrayToString(byte[] arrInput) { StringBuilder sOutput = new StringBuilder(arrInput.Length); for (int i = 0; i < arrInput.Length; i++) { sOutput.Append(arrInput[i].ToString("X2")); } return sOutput.ToString(); } #endregion }
最后的话:
围绕着本地数据安全,我们一共有两项措施
1:我们通过比较md5,来确保游戏配置db数据没被篡改。
2:我们通过 SystemInfo.deviceUniqueIdentifier,来确保玩家之间的存档不会通用。
说实话,我不是很喜欢花费时间在安全性上,如何让游戏变得好玩,才是重点
抛砖引玉,欢迎各位朋友指教