我们都知道，欠债2万亿，铁道部花了4千万制作了一个被行业普遍称之为学生作品的12306 购票网站。我在这里转贴过2个SQL 注入漏洞。类似SQL 注入问题根本就是行业最低标准。这几乎如同生产汽车的厂家居然不懂安装保险带和安装皮带错误一样。

在现代大量成熟的WEB开发框架下，只要按框架开发，你想犯这样的错误都难。唯一问题是如果你连基础框架都不熟悉，开发时为了解决问题绕过框架。才会出现这样的致命问题。好在中国黑客比较善良，及时发布了问题，而没有刷里面的数据库。实际上12306各种低级错误充斥着互联网，我也懒得去说。如果把蓝翔技校的JAVA 班学生撮合在一起我很怀疑还能开发比这个更烂的系统。

这里暂且不说这个。就说大家最关注的刷票软件。刷票软件，其实简单的说，就是让用户浏览器停留在订票页面，一旦有符合条件的新票出现，就立刻抢购。

为了保证及时抢到票，这样的软件必须不断刷新页面。这给12306的破烂系统带来了巨大的负担，同时对不使用这些软件的用户也相当不公平。

于是铁道部想招了，先是约谈浏览器开发商，要求开发商禁止刷票插件。结果没有得到回应，甚于说由于工信部的袖手旁观，浏览器开发商甚至反向，自己开发刷票功能，比如360 这种本来就不拿职业道德当回事情的商家。

铁道部没办法，再约谈插件开发者，大家可以想得到效果肯定也不会有什么。首先这些软件已经被广泛传播，想收都收不回来。其次，铁道部对这些开发者也没有很好的管制办法。就是起诉，打顶天人家当黑客就是了。

问题是，防止盗刷很困难吗？一点都不，只要有经验WEB框架设计师都能想出一整套完善的解决方案。比如对刷新频率过高的session做强制超时。同时加上安全插件防止机械登录。用安全加密信息加客户端解密插件加密通信数据。

这不是需要有多高的水平，因为防止盗刷，这早就不是行业内复杂的技术。无论是论坛，银行，B2C 定时抢购，等等等等，都有类似的技术需求及解决方案。

在具体实施上，只要正对原来的程序及页面做一部门改进就可以了。但是从去年春节发生刷票软件泛滥到现在一年有余。堂堂铁道部居然和和都没有意识到这类方案是现成及成熟的，更不要说去使用了。结果就是到处约谈，再成笑柄。

如此简单的技术都不知道，不妨碍相关开发人员拿科技进步奖。科技进步在哪里？我认识的好几家小规模外包公司，请问12306里有哪项是他们做不到的？又有谁会相信这种东西需要4000千万才开发得出来（我相信要开发完善的大用户订票系统还真需要4000万，甚至还要多，但绝不是12306这种水平。）

谁都知道这里面大量的工程回扣，才会造成官员被项目制作方牵着鼻子走。一次又一次的搞出行业笑话。

一个订票系统如此之烂，你们对高铁还能有多少信心？