我再怎样想，都想不明白，网页程序要防盗刷能需要几个本科生去完成。

简单的使用session timeout对频繁访问session做失效。在登录的时候用验证码防止机械登录，在订票的时候也是。

复杂的增加安全组件，甚至在订票的时候使用安全组件的软键盘。通信走HTTPS + 一般商业行业的安全证书机制。

再要保证点，订票验证码发手机或者邮箱。

能想出的办法一大堆，除非对方是哈佛人工智能研究小组出动，不然根本不可能防不住。就是再不懂，那么多抢购网站啊，网银啊，防盗刷的例子还不是都是现成的。能烂成什么样才会去约谈求人。