node-2048.coding.io 谁作弊了？^_^

大家来玩一个游戏

http://node-2048.coding.io/

请阅读全文回答问题，并给出推理过程。
（纯属娱乐哈）

哪位用户作弊了？

另外，这种在线游戏如何防止作弊？

hging

2014-07-18 15:35:03 +08:00

404 Not Found: Requested route ('node-2048.coding.io') does not exist.

zhigang1992

2014-07-18 15:42:55 +08:00

@hging 被玩坏了，稍等几分钟～

phyng

2014-07-18 16:08:44 +08:00

14296 去掉作弊的我居然是第一。。。

lujjjh

2014-07-18 16:10:22 +08:00

发现 XSS 漏洞一枚。

binjoo

2014-07-18 16:10:25 +08:00

尼玛，还能跨站。

Fulminit

2014-07-18 16:15:54 +08:00

@phyng VCZH?

phyng

2014-07-18 17:05:36 +08:00

@Fulminit 瞎起的名字

zhigang1992

2014-07-18 18:58:48 +08:00

超过MySql int限制的score可以宕掉后台，发特殊符号包括Mac下的表情还可以～～～好好玩

imlz

2014-08-22 22:55:41 +08:00

呵呵，现在才看到，抱歉
我是肇事者，boringlz 修改score 11111111111（忘记几个了）
第二次看到int限制也没意思，不就把数据上限给修改了么。。。没多少用
以前是运维的，对数据流还是有点了解，游戏上传分数不就对服务器发个包
我只是修改了这个包的数据，最简单的是使用Firefox 对网络进行记录，然后发现那个post请求，修改重发即可达到改分的目的。
解决方法是采取对象序列化，http://blog.csdn.net/zhangquanok/article/details/13002771，这边只是一个例子，我随便找的。
其他可以通过传字节流解决

纯技术交流，望见谅，技术交流欢迎，bug@ilz.me，谢绝人肉并公开整理我资料

重新读了一遍才发现是游戏，唉。。。语文老师死的早

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/123328

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.