这是一个创建于 4277 天前的主题,其中的信息可能已经有所发展或是发生改变。
两台服务器,A跑webB跑mysql,现在做的是web端请求mysql只能从A机IP请求。
用户财务虚拟帐号设计了几个表
充值流水表
流水id,充值方式,充值方式流水id,充值金额,用户id
个人账户表
用户id,充值金额,显示金额
简单解释下
充值方式是PP和信用卡,货币单位都是USD,所以在个人账户表中会存在两个金额
例如个人充值100USD,需考虑到汇率损失、充值手续费等因素,个人显示金额可能是95USD
假设最恶劣情况
黑客侵入篡改充值金额,显示金额,立即下单购买商品
php程序和数据库要怎样设计才能保证数据准确性唯一性,也好进行排查?
用户财务虚拟帐号设计了几个表
充值流水表
流水id,充值方式,充值方式流水id,充值金额,用户id
个人账户表
用户id,充值金额,显示金额
简单解释下
充值方式是PP和信用卡,货币单位都是USD,所以在个人账户表中会存在两个金额
例如个人充值100USD,需考虑到汇率损失、充值手续费等因素,个人显示金额可能是95USD
假设最恶劣情况
黑客侵入篡改充值金额,显示金额,立即下单购买商品
php程序和数据库要怎样设计才能保证数据准确性唯一性,也好进行排查?
 |
1
qiuai 2013-03-07 15:43:23 +08:00
可以把金额加盐再存储一次.消费前进行对比.
|
|
3
qiuai 2013-03-07 19:04:35 +08:00  1
@nichan 表1存储金额.表2里放加密后的金额,这个加密可以反向解密.但是有一个特殊的盐在里面.
然后消费和查询的时候,使用表1里的金额,但是牵扯到消费的时候,可以先去与表2对比一下.一致以后再去消费. 或者你可以对金额的存储做一下简单的加密.让黑客找不到金额到底是哪个.呵呵,办法是想出来的嘛~ |
 |
4
enj0y 2013-03-08 03:57:21 +08:00
方案:
1.对金额加密验证,但算法的不可逆性需要你自己斟酌, 最佳的算法:有cryptcheck(var amount,var hashcrypted){return false||true;},但没有encrypt(var amount){return str;} 2.定时作业比对金额较上次变动(增加)与此用户相应的充值转账流水记录,如有必要可以调用PP/CreditCard 日志接口,如果发现账户异常直接冻结用户所有操作权限通知管理审查,但需要注意任务不要影响主业务。 3.强制用户实名验证,遇到紧急情况也有据可查。 |
Select Language