一、核心漏洞定位
1. 背包满假拾取漏洞(核心问题)
原脚本[@MapEventPickUpItem]事件无任何拾取前置判断,仅执行提示、计时和调用命令。传奇引擎默认机制中,玩家背包满时无法拾取物品,但该事件仍会触发系统提示与红箭头标识,造成“已拾取宝盒”的视觉假象。因无背包空间校验,即便玩家实际未获得宝盒,脚本仍会启动30分钟倒计时,最终允许开奖,导致多名背包满玩家均可参与开奖的异常。
2. 无限开奖漏洞(衍生问题)
开奖逻辑存在两处致命缺陷:一是[@打开宝盒]无权限校验,任何玩家可随时触发;二是[@开奖]仅判断N6变量等于0,无宝盒持有校验、开奖次数限制及计时器关联校验。原脚本SetOnTimer 7 30与SetOffTimer 17计时器编号不匹配,倒计时结束后无法正常关闭,且无单人单次夺宝限制,导致玩家可反复触发开奖流程,实现无限领奖。
3. 脚本冗余与逻辑断层
[@DropItem]中重复5次相同提示信息,属于无效冗余;[@开奖]中take 宝盒 1命令在玩家无宝盒时执行无效,且无else分支处理,进一步放大开奖混乱;计时器编号不统一,导致倒计时与开奖动作脱节,无法精准控制开奖时机。
二、漏洞修复核心思路
1. 新增拾取校验:在宝盒拾取事件中,添加背包空间检测与宝盒持有判定,确保仅背包有空间的玩家可真正拾取,杜绝假拾取。
2. 完善开奖权限:绑定宝盒持有状态、计时器状态与单人每日开奖次数,仅实际持有宝盒且倒计时结束的玩家可开奖,限制每日参与次数。
3. 统一计时器逻辑:修正计时器编号,确保倒计时启动、结束与开奖动作联动,避免计时失效。
4. 清理冗余代码:删除重复提示,补充else分支,让脚本逻辑闭环,提升稳定性。
三、完整修复脚本(可直接替换使用)
[@DropItem]
#IF
CHECKLEVELEX > 1
#ACT
SendMsg 0 宝盒已掉落在:[%M].坐标:[%x:%y]
sendmsg 5 对不起!你扔掉了宝盒,已被踢下线,请小退重新登录!
KICK
Break
[@MapEventPickUpItem]
#IF
CHECKITEM 宝盒 0 # 确认玩家当前无宝盒,避免重复拾取
CHECKBAGSLOTS > 0 # 检测背包是否有至少1个空闲格子
#ACT
GIVE 宝盒 1 # 强制发放宝盒,确保拾取成功
SendMsg 0 宝盒已在:[%M].坐标:[%x:%y]被玩家〖<$USERNAME>〗拾取
SENDMSG 0 玩家〖<$USERNAME>〗携带宝盒出现在[%M][%x:%y],内含稀有道具,速去争夺!
SendCenterMsg 180 251 距离宝盒开启还剩30分钟,持有玩家需保持在线! 0 60
SetOnTimer 7 30 # 启动7号计时器,30分钟后触发
#CALL [\游戏登陆\顶戴花翎.txt] @顶戴花翎
#ELSEACT
SendMsg 5 背包空间不足或已持有宝盒,无法拾取!
Break
[@打开宝盒]
#IF
CHECKITEM 宝盒 1 # 校验是否持有宝盒
CHECKTIMER 7 0 # 校验7号计时器是否已结束(倒计时完毕)
#ACT
movr N6 34
goto @开奖
#ELSEACT
SendMsg 5 你未持有宝盒或开奖时间未到,无法开启!
Break
[@开奖]
#IF
equal N6 0
CHECKITEM 宝盒 1 # 二次校验宝盒持有状态
#act
take 宝盒 1 # 回收宝盒,防止重复使用
GIVE 情侣男装 1
SENDMSG 1 恭喜〖<$USERNAME>〗抢宝成功,获得≮情侣男装≯一件!每日限参与3次夺宝。
SetOffTimer 7 # 关闭7号计时器,避免重复触发
INC N7 1 # 记录每日开奖次数,N7为自定义变量
#ELSEACT
SendMsg 5 开奖条件不满足,无法领取奖励!
Break
# 新增每日次数限制脚本(需加入登录脚本或全局脚本)
[@Login]
#IF
DAYCLEAR N7 # 每日凌晨重置开奖次数变量
#ACT
mov N7 0
Break
# 可选:夺宝区域退出脚本,防止带宝盒离开
[@MapOutEvent]
#IF
CHECKITEM 宝盒 1
#ACT
take 宝盒 1
SendMsg 0 玩家〖<$USERNAME>〗离开夺宝区域,宝盒已掉落至[%M][%x:%y]!
DropItem 宝盒 1 %x %y # 原地掉落宝盒,重新开启争夺
Break
四、修复要点详解
1. 假拾取漏洞修复关键
新增CHECKBAGSLOTS > 0命令,强制检测背包空闲格子,无空间则直接提示无法拾取,从源头杜绝假拾取。同时添加CHECKITEM 宝盒 0判断,避免玩家重复拾取多个宝盒,确保每次夺宝仅1人持有宝盒。补充GIVE 宝盒 1命令,强化拾取动作,避免引擎默认机制导致的拾取失败。
2. 无限开奖漏洞修复关键
[@打开宝盒]中新增CHECKITEM 宝盒 1与CHECKTIMER 7 0双重校验,仅持有宝盒且倒计时结束的玩家可触发开奖。[@开奖]中二次校验宝盒持有状态,回收宝盒后关闭计时器,防止重复开奖。新增N7变量记录每日次数,通过DAYCLEAR命令每日重置,限制单人每日3次参与(可修改INC N7后的数值调整次数)。
3. 细节优化说明
删除[@DropItem]中重复提示,精简代码;修正计时器编号统一为7,确保启动与关闭联动;新增夺宝区域退出脚本,玩家带宝盒离开时自动掉落,维持夺宝公平性;补充所有else分支提示,让玩家清晰知晓操作失败原因,提升体验。
五、脚本测试与验证步骤
1. 假拾取测试:让10名玩家背包装满道具,站在宝盒掉落点,观察是否提示“背包空间不足”,无红箭头标识,无法触发开奖,验证假拾取漏洞已修复。
2. 正常拾取测试:让背包有空间的玩家拾取宝盒,确认系统提示、红箭头正常显示,30分钟倒计时结束后可正常开奖,开奖后宝盒被回收,无法重复领取。
3. 无限开奖测试:尝试无宝盒、倒计时未结束时触发[@打开宝盒],观察是否提示失败;同一玩家每日开奖3次后,再次触发是否无法领取,验证次数限制生效。
4. 边界测试:玩家带宝盒离开夺宝区域,检查是否自动掉落宝盒并提示,其他玩家可拾取继续夺宝,确保脚本容错性。
六、补充注意事项
1. 变量与计时器:N6、N7为自定义变量,确保无其他脚本占用;计时器编号7需单独使用,避免与其他脚本计时器冲突。
2. 引擎适配:部分引擎CHECKBAGSLOTS命令可能替换为CHECKBAGSPACE,若提示命令无效,可查阅对应引擎手册替换为适配命令。
3. 备份原脚本:替换修复脚本前,务必备份原始脚本,若出现异常可及时恢复,避免影响服务器正常运行。
4. 每日次数调整:如需修改每日夺宝次数,仅需调整[@开奖]中INC N7后的数值,同时在提示信息中同步修改,保持前后一致。
