在淘宝提供的SDK中，并没有对接口调用返回结果进行安全性验证。

这样就存在一种可能，比如我的订单接口调用在网络传输过程中被劫持了（hacker伪造了格式一样的返回信息），那么就可能导致我的订单系统会引入一些实际上并没有在淘宝平台存在的订单，此时，如果订单系统的客服人员没有比对两个平台的订单的话，订单系统上多出的伪造的订单就可能被发货出去。

解决办法：

淘宝订单接口可以在接口返回的信息中,返回签名，然后sdk中对接口返回信息中的签名进行验证即可。

不过如果传输过程完全被hacker接管的话，这样也没有用。

并且sdk中的gateway url并不是https的。如果把gateway url改成https的则hacker不好伪造传输内容