支付宝架构师重新审视数据库与用户体验
　作者: IT168 六月　编辑:
【IT168 专稿】&&& 4月2日，中国首届数据库技术大会在北京盛大召开。在这一面向数据库及商业智能技术专业人群的技术盛会上，各路DBA高手云集，悉数分享各自在数据库技术领域深入研究的体会和经验。不论是演讲人还是听会人都抱着分享、学习、进步的愿望，充分互动与交流。支付宝数据库架构师冯大辉&&& 下午的高可用管理和备份专场上，ITPUB论坛超级版主盖国强、达梦数据库核心研发经理周淳、支付宝数据库架构师冯大辉一一分享了自己在相关领域的实践经验。支付宝数据库架构师冯大辉围绕着数据库与用户体验的关系，从另一个角度让我们看到DBA的独特价值。一开场，冯大辉就解释了选择这一&另类&话题的原因，&可能绝大多数DBA都会认为自己的工作和用户体验（user experience）是风马牛不相及的事情。其实不然，DBA在很多关键的地方都会和用户体验相关联，理解到其中的细微之处。而这或许能让DBA走得更为深远，对用户更有价值。&&&& 当重新审视数据库、产品和用户体验之间的关系，大家能体会出左右两图之间的不同吗？&&& 从DBA角度影响用户体验，关注点集中在如下三个方面：响应速度、可用性和数据交互策略。冯大辉分别从这三个角度介绍了一些规则和策略，包括8秒响应规则、提高可用性的High Availability策略、数据交互策略等。&&& 其中冯大辉特别提到数据交互策略中的CAP策略。CAP，当然这里不是帽子。CAP是可用性（Consistency）、一致性（Availability）和分页（Partition）三者间的权衡策略。这就好像鱼和熊掌一样不可得兼，而是根据具体需求实现的一种平衡的艺术。&&& 中国首届数据库技术大会由IT168网站携手旗下三大企业级社区ITPUB、ChinaUnix、IXPUB社区举办。本次大会是首个面向数据库及商业智能技术专业人群的技术盛会，全部议题围绕使用的技术性主题，从数据库的架构设计、性能优化、存储安全、系统监控等方面，通过实践案例对数据库技术进行系统剖析。冯大辉&粉丝&团挤爆会场
IT168企业级10:55 提问
数据库怎样设计可以同时比较好的支持微信支付和支付宝支付
系统同时用到了微信支付和支付宝支付，两种支付方式的数据上有点区别，怎么样设计数据库可以比较简单明了的支持两种支付
按赞数排序
两种支付方式的数据，区别在哪里？
其他相关推荐双12当心支付宝账户被“扫号”|支付宝|账户|密码_互联网_新浪科技_新浪网
双12当心支付宝账户被“扫号”
□扫号软件可能威胁淘宝、支付宝用户安全 /晨报记者 肖允
　　晨报记者 王亦菲 实习生 裴小`
　　“扫号”三步走
　　1 “黑客”盗取数据包
　　扫号群里叫卖的数据包括淘宝、支付宝、邮箱、贴吧、微博、游戏等的账号密码。一名卖家透露，自己数据的终极来源是黑客。
　　2“扫”数据获取账密
　　打开扫号软件，点击 “导入账号”，打开买来的数据包后，软件自动进行匹配。运行过程中，账号、密码明文显示。 “过滤登录状态”栏显示“淘宝登录成功”，则表示通过了扫号器的验证，是正确的账号密码。
　　3登录账户盗取资金
　　扫号结束，用获取的账号、密码登录淘宝账户。如果被入侵用户还有其他个人信息遭泄露，其账户资金安全可能受到威胁。
　　“双11”刚走，“双12”又来，在一个接一个的促销诱惑下，网民们不断向支付宝账户充值。而里面大量的资金，正成为不法分子最渴望的猎物。晨报记者经数周调查发现，有一些不法分子通过黑客买来用户数据，再将其输入专门设计的“扫号软件”，便能轻而易举入侵用户的支付宝账户，进而转移资金，或者进行其他类型的犯罪。
　　支付宝绑定银行卡被盗刷
　　家住宝山的周先生就是“扫号软件”的受害者。11月10日23时40分到23时44分，短短4分钟内，他的工商银行储蓄卡被人通过支付宝盗刷3万元。经查，周先生的支付宝账号和密码被不法分子盗取，此后不法分子又通过定向快捷支付方式，将周先生支付宝绑定的工行卡内资金盗刷。
　　支付宝调查发现，不仅用户的支付宝密码被盗，所绑定的银行卡卡号、户名等相关信息也被盗。而支付宝账户被盗的原因，很可能是周先生在其他网站、论坛使用了同样的账户密码，被不法分子利用了，进行了“扫号”。
　　与一般点对点的“盗号”直接获取目标账户密码不同，“扫号”是通过曲折迂回方式获得账户密码。打个比方，一个人的账户、密码就好比家里的大门和钥匙，“盗号”就是不法分子盯上了你，一心一意窃取你家的钥匙从而实施盗窃。而“扫号”则不同，不法分子批量窃取成百上千户居民家中的各类钥匙，一旦你家某扇门与批量钥匙中的一把匹配，那么不法分子就能从批量钥匙中试探出开启你家大门的那一把。
　　实为自动批量登录工具
　　扫号软件究竟是一个怎么样的软件？360资深安全专家安扬向记者揭开其真实面目。
　　“说白了，扫号软件其实就是个自动批量登录工具。”安扬解释，“由于很多网站被黑客盗取用户密码库，如此前的CSDN、天涯等多网站用户数据泄露事件，而且有不少网友习惯在不同网站设置相同的注册邮箱和密码，扫号软件就是利用网站泄露的数据库，针对QQ、微博、电商、游戏等平台进行自动批量登录操作，找到能够成功登录的账号。”
　　举例来说，CSDN网站数据库泄露了600余万个注册邮箱和密码，其中包括很多QQ邮箱注册用户。黑客想知道这些QQ号是否使用了和CSDN相同的密码，逐个手工验证是非常麻烦的，于是就会使用扫号软件自动尝试登录，把能够成功登录的QQ号全部扫出来。
　　“一般来说，扫号器都是针对某个网站或程序制作的，比如对QQ的扫号器，对微博的扫号器，对淘宝、京东等电商网站的扫号器。”而根据网站防范措施的不同，扫号器的技术含量和制作成本也有很大差别。
　　[专家建议]
　　网银、电商账户应单独设密码
　　360安全专家安扬呼吁，用户应保持个人电脑系统安全，清除木马等潜在风险。“网银、电商、证券交易、常用邮箱、聊天账户等涉及财产和隐私安全的账户，应单独设置密码，可以避免被扫号软件登录账号。尽量使用‘字母+数字+特殊符号’形式的高强度密码，字母可区分大小写，特殊符号可使用电脑键盘数字键上的那些字符。”
　　他建议，网友可以按照账户重要程度对密码进行分级管理，密码越重要，强度也要越高，且重要账户应定期更换密码。“避免用生日、姓名拼音、手机号码等与身份相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息。”
　　[记者体验]
　　通过扫号软件真能成功登录他人账户
　　数据正确但无法登录
　　为了一窥“扫号软件”的真面目，记者进入名为“扫号器数据互换交流群”的QQ群中，并联系到了卖家“小何”，提出要购买淘宝主题的扫号器，对方开价500元，并附赠一个数据包。
　　付款后，对方很快通过QQ发来一个近9000个账密的数据包文本文档和“阿里和淘宝晒密1.03”扫号器。按照卖家示范的操作步骤，记者开始亲自“扫号”。几分钟后操作完毕，8971个账号中有183个显示“淘宝登录成功”，并明文显示账户密码。不过记者发现用其中的一些账号并不能成功登录淘宝，而是出现了“您的账户可能被盗用，暂时限制使用，请按步骤自助开通”的页面提示，页面跳转后显示需要手机接收并通过验证码。
　　购“一手数据”后成功登录
　　当记者质疑为什么扫号软件显示“淘宝登录成功”的号却不能在淘宝网上顺利登录时，卖家说因为这些数据都是二手数据，“都是我昨天扫过的，淘宝大概是检测到了风险所以被写了保护。”记者于是又以300元的价格从卖家“小何”手中买了1万个“一手数据”。
　　还是同样的扫号器，同样的方式。这一次，10131个号全部经由扫号器“扫号”，其中112个号显示“淘宝登录成功”并被记录在自动生成的“综合结果”文本文档。
　　粗览这些数据，记者发现密码大多比较简单，疑似生日密码或是姓名拼音的结合占据了大多数，还有的竟然和登录名相差无几。
　　记者通过各种方式与其中的一些用户取得联系，在征得对方同意后，当面尝试用账号和密码登录淘宝，结果发现能够成功登录并能查看所有信息，包括个人资料、交易记录、收货地址等。
　　绑定邮箱、手机都能改
　　在一位用户的淘宝页面中，记者通过“绑定支付宝设置”选项直接进入其支付宝账号。0元支付宝和数千元的余额宝余额都在主页显眼位置显示，余额数字后面就是“转账”选项。
　　记者试图点击“转账”，选择转出至其绑定的银行卡，又在“到账时间”的两个选项――“次日到账（使用电脑转出）”和“2小时到账（使用手机转出）”中勾选了前者。页面继而提示“您是数字证书用户，但本台电脑尚未安装证书”。
　　按提示，记者开始了安装数字证书的第一步操作：需要输入绑定手机上发送的验证码，因为绑定的还是用户自己的手机，记者点击了手机号码后的“更换号码”选项。此时页面跳转到“人工处理”，填写修改手机号码申请单：“我们会将申请单发送至您的邮箱”，并附有该用户绑定的邮箱。
　　记者修改绑定邮箱。而这次，没有任何验证要求就弹出“修改邮箱地址”对话框，附加提醒“此邮箱仅作为本次联系使用”。当记者填写完自己的邮箱并点击“发送邮件”后，顺利收到发来的验证邮件，点击邮件中的链接便跳转到修改手机号的页面，页面显示“输入新手机号码”。至此，记者只需要输入新的手机号，就能替换掉原本绑定的手机号。
　　■支付宝解释
　　“扫号”+其他信息泄露才可能转账成功
　　通过扫号软件，是否就能成功修改绑定的手机和邮箱，继而转走账户内的资金呢？记者就此联系了支付宝公关部经理朱健。
　　朱健表示，支付宝被“扫号”的情况确实存在，自己也有所耳闻。他解释：“可能是用户在一些有风险的小网站上泄露了账号密码，并且用同样的账号密码绑定了支付宝，从而被不法分子试验到并企图利用。”他说：“我们的支付宝是双密码设置（登录密码和支付密码），还有层层数字证书、手机校验等关卡，不法分子想要通过‘扫号’转移资金没那么容易。 ”
　　对于用户被“扫号”的情况，朱健解释，不法分子虽然能够替换掉用户的绑定手机和邮箱，但在转账时，还需要输入支付宝支付密码，“支付宝是双密码设置，而一些用户被破解的是登录密码，因此支付密码还是相对安全的。除非他其他的个人信息也被骗子掌握了，进一步替换掉了他的个人身份信息及支付密码，才有可能转账成功。 ”
　　朱健表示，“我们有一个实时风险监控系统，每天进行1.2亿次行为监控，能够侦测绝大多数非正常行为并予以实时处理，一旦发现异常，会通过发送校验码或冻结账户方式进行确认。 ”
值班电话：010-&&|&&&&|&&
，推荐效果更好！
看过本文的人还看过数据库怎样设计可以同时比较好的支持微信支付和支付宝支付_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
数据库怎样设计可以同时比较好的支持微信支付和支付宝支付
我有更好的答案
微信支付和支付宝支付只是和支付接口，与你的数据库设置没有任何关系。如果你需要统计，在订单表加一个识别字段就行了，比如微信付款的是1，支付宝付款的是2.
采纳率：70%
来自团队：
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包支付宝的数据能否清理_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
支付宝的数据能否清理
我有更好的答案
当然能清理，支付宝数据都是本地缓存，提高使用速度的。所有数据都在网上，本地数据清除无影响。
　　6，页面会反馈错误提示，接着在右上角的帮助中心点击【自助服务】 。　　2，在所有自助服务框中的账户自助下点击【注销账户】。　　3，来到确认协议页面，直接点击【同意协议并继续】按钮 。　　4，这时系统将会自动检测账户是否符合注销条件，然后点击【下一步】继续 。　　7，最后需要输入支付密码以完成注销账户操作 。　　8，如果不符合，点击【确认注销】，系统自动进行二次账户注销校验信息，　　5，注销的同时需要支付宝进行资料核实。注销方法如下，随便选择一项注销账户的原因：1支付宝数据是不能清零的，只可以在最近里面删除，检验失败会在页面提示【注销申请失败】，成功则会提示【注销申请提交成功，审核通过将在48小时内注销账户】，如果符合，则会进入【确认放弃权益】页面 ，点击【我知道了，下一步】， 可以选择注销，首先登录我的支付宝账户，但还是可以在后台看见，如果不想用此账户
为您推荐：
其他类似问题
支付宝的相关知识
换一换
回答问题，赢新手礼包