最近很多网站用户信息泄漏，先是一些无关紧要的网站，然后是当当这种涉及到真金白银，安全性应该极高的网站。这然我们想到了最要命的网上银行，它们安全吗？这个问题我也没有确切的答案，但是刚才我在电子支付的时候遇到的事情，可以提供一些猜测的依据。

我在孔夫子网买了一本书，然后用支付宝支付，在支付宝里面我选了用建设银行，然后输入支付宝的密码，短信验证，到了最后一步，支付宝说：有风险，不能支付，具体情况请打客服电话。于是我就退回孔夫子网，改选直接用建设银行支付，到建设银行网站完成支付，当点击返回支付请求页面时，神奇的事情发生了：建设银行把我退回到了支付宝，刚才支付宝无法完成的交易成功了。

为什么会发生这种事情？死程们不难想到，建设银行网银内部的状态彻底的混乱了。当支付宝请求建设银行时，建设银行对支付宝返回了拒绝，但是这个支付宝的支付请求却被记录了下来。然后孔夫子网又请求建设银行支付，建设银行没有另开新的支付transaction，而是把刚才支付宝建立的支付transaction跑了起来。注意两个支付的金额是不等--通过支付宝的transaction多9分钱的手续费。

这明显是建设银行网银系统的一个bug，虽然它并不是非常严重的安全问题，但是有经验的死程都知道，bug不会单独出现，特别是这种把程序状态搞错的bug。