讨论：游戏中商店的测试要点

maxwell12

我的发言中没有不用截包工具作为前提.
请问你的问题是什么呢?
我说了使用这类工具进行服务器端程序检查的测试,有什么问题吗?我说的有哪些不对的请指出

maxwell12

文本输入要考虑是否限制输入的字符类型,数字,字母汉字,日期等.是否限制输入长度.是否能使用CRTL+C 和 CTRL+V操作.文化部的屏蔽库内容处理.文本输入考虑SQL注入能否实现攻击.

Indisorder

文本输入容易发生误区的地方：
使用简体中文版的操作系统来测繁体中文软件，容易出现乱码，反之依然。因此如果有必要游戏需要加入字库。

Indisorder

MAX的WPE操作应该主要应用在功能上（个人观点）不仅仅只是单纯的安全校验。
   因为从他的描述中可以看出，他的做法是使用WPE进行数据封包的截取，但是截取到包并不是修改而是复制和发送，是不是可以看做是对游戏机器人的替代。
游戏机器人的原理就是根据不同模块的功能发送相同的数据包给服务器（欺骗手段），同样是发数据包，只不过机器人是通过客户端的功能模块和接口发送，而WPE是在客户端和服务器之间发送。
   使用WPE的前提应该是客户端功能稳定且已经验证功能已经全部实现。这样发送WPE截取的封包才是“对测试有效”的封包。
   也想顺便问下MAX大哥，你那边是如何判断WPE封包的正确性呢？

huix47

请息怒，并没有说您错误。
可能是理解上的不同，我的观点在第1次回复的时候已经说明了。使用wpe类似截取封包软件基本是和网络安全有关的，基础的测试上用处并不大。或者说与功能测试关联不大(已经用到了和网络安全相关的工具，那输出造成的结果和本身该系统的功能上出错并非一致。)

maxwell12

这下了解了
我们的分歧在于是网络安全还是功能检查
举个例子
玩家在距离目标NPC4米内,鼠标左键点击目标NPC,打开该NPC的对话框.超过4米鼠标左键点击NPC不开启NPC对话框.
实现超出NPC有效响应距离可以有客户端检查和服务器端检查.
如果是客户端检查,那么复制客户端给服务器发送的请求打开NPC对话框的包.在游戏中角色站在NPC有效距离之外发送复制包,应该可以打开NPC对话框.
如果是服务器做校验,步骤是客户端发送请求,服务器检查角色和目标NPC不在有效距离内会给客户端发送失败的消息.

每个有检查无效输入的功能都可以用这招测试.
有些关键的检查应该必须是服务器校验的,如果仅仅由客户端检查,漏洞太大,很容易被人利用.而且利用的技术要求不高.

为什么我把这个检查列入功能测试?功能测试的测试用例中输入步骤中会描述测试环境,有效输入还是无效输入,预期结果怎么样.
这样的检查是打破了常规的测试环境,绕过客户端对无效输入的拦截直接给服务器发包检查功能实现的结果.

如果包裹中金钱不够不能购买物品的拦截在客户端,那么直接发送购买的包给服务器.服务器没有对这个作出检查直接执行购买流程,可能会出现金钱数值负数或数值溢出.

11111

此贴到现在能结吗

Indisorder

不行啊...每天想到一点，当wiki来写哈哈，版权给楼主了。

11111

哈哈，大家有什么想补充的，都可以补充啊，我嘛，就整理下~~~~~~~，呵呵

pudge

webgame不是很了解，请问关于商店的测试，除了各位上面所说的，不用检验商店相关的忙碌状态么？还是上面的描述中已经包括了。。或者忙碌这块是单独进行测试的？