关于微信支付安全问题

楼上错了，支付回调会判断来源地址，你不可能伪造。如果说可以伪造回调，那为什么不直接数据库修改账号金额？何必去伪造多此一举？
如果有人拿到服务器shell，那肯定损失的就是整个服务器信息，因为你不知道什么地方被修改或者挂马。而真实的资金是不会有什么损失的，除非你们不去核算订单资金流水，那么他可以拿虚假的账户钱买东西。还有个就是他可以把Appid这些资料修改成自己的，用户付款就到了他那里，不过我相信没人会去这样做，微信支付是实名的。
另外，拿到微信的这些资料对支付没什么用，因为既不可能登录微信后台，也不可能进行提现。唯一有用的是拿到公众号的信息，发送广告。