论篡改微信余额的技术可行性

原文：腾讯云—论篡改微信余额的可行性

这天看两个朋友在聊天，小帅唉声叹气：我怎么这么穷，要是能改我的微信余额就好了!

大强：Vocal，你小子天天不务正业，净想这些歪门邪道。

小帅：你不就是做微信支付的?改一个余额很简单吧?用你们技术的话说，余额就是数据库里的一个值，一条SQL就能搞定。

大强：你以为OBA（数据库管理员）是干什么的?能把这个权限给你吗?

小帅：DBA不就是你兄弟吗，昨天还吃过饭，你俩合伙一起，干一票!

大强：刑刑刑，你小子可真刑，我今天就来给你说说，微信的余额为什么不能改。

直接改微信余额

确实如小帅所说，微信余额在数据库里就是一个数字，这个数字保存在客户账户中。

小帅：就这么简单?那就是一条SQL的事，这个我都会写 update 客户账户表set账户余额=999999999where账户所有者='小帅’

大强：第一道防线来了，每个账户都有流水来记录余额变动情况。

到日终的时候核对昨天日终余额+今天的流水发生额=今天日终余额就会发现余额和流水对不上。

余额和流水一起改

小帅：那简单，再找DBA，加一条账户流水，保证余额和流水能匹配上不就行了?

大强：当然不行，第二道防线账证核对，账就是上面所说的账户和流水，证是指交易凭征，你的账户余额变多了总得有原因吧?例如充值了100，就应该有充值的交易记录。

如果没有交易记录，通过账证核对就会发现这笔账是假的。

把交易记录也一起改了

小帅：一不做二不休，再伪造一条交易记录!（小帅逐渐亢奋）

大强：淡定淡定，就算你把交易记录也造好了，接下来的第三道防线：借贷年衡检查，有借必有贷，借贷必相等听说过吗?

小帅：这话听起来怎么这么耳熟?

大强：这是会计术语，为了保证账务的准确性，每次记账都要有借记和贷记，如果是正常的一笔充值交易，会产生一借一贷两条账户流水：【借记应收待清算-贷记小帅余额户】

也就是说，只要做一次借贷平衡检查，就能发现账务造假!

这里的应收待清算户已经不是客户账户了，而是属于内部户，只在企业内部可见。

把借贷双方都一起改了

小帅：那..把借记、贷记两个账户的流水和余额都

一起攻了!（小帅逐渐失去理智，他依然没放弃）

大强：可以，假设你把应收待清算户也加上999999999，接下来会遇到第四道防线：账龄监控。从记下“应收待清算”这笔账开始，账龄就开始计算了，正常情况下这笔账会经历“待清算”->“应清算”->“头寸户”，如果在一定时间内这笔账没有正常流转而是一直停留在“待清算”，账龄监控就会发出告警。

（长时间的沉默..…，小帅慢慢陷入绝望，但他还是想最后再试试）

小帅：有没有一种可能，把上面你所说的全部数据都改一遍，反正这些数据都保存在你们数据库里面，无非就是改起来麻烦一点。

大强：何止是麻烦亿点，要改动这么多数据，绝对无法神不知鬼不觉做到，你得怂恿上下游多少个团队多少人配合你才能完成?好，再退一步说，把上面的数据都改好了，你还要面临第五道防线：账实核对。我们不光要自己记账，还要把自己记的账和网联（作为清算机构）记的账做对账，另外我们的银行账户余额会和头寸户余额做对账，生成余额调节表，很容易就能发现有一笔异常资金没有收到实际打款。即便你有办法改动所有的内部数据，总不能改动银行的余额吧?

至此，小帅终于知道了改动微信余额有多么困难，因此他决定踏踏实实工作，开一家包子铺，走上人生巅峰，不过，这都是后话了。

（篡改微信余额是违法行为，切勿轻易尝试！)