很多都是滥用第三方包,比如当年struts2那个,人家ognl一个el引擎当然具备动态执行代码的能力,问题是解析参数无非就是解析下xxx.xxx.xxx的问题,indexof,split再反射一下的事情,你非得偷懒让el引擎来做。
不过ognl定位也有问题,你要么像mvel那样把自己定位为一个脚本引擎,那提供修改数据的功能无可厚非,你一个el引擎修改啥数据,你不提供修改数据的功能,struts2就没办法拿你来解析参数。
【 在 hgoldfish (老鱼) 的大作中提到: 】
: 但保不齐第三方库用了啊。
: 企业级的 JAVA 都这样子,不知道那些用 JS 写后端的怎么看。里面不知道有多少 eval() 等着黑客呵呵。
--
修改:canper FROM 183.6.114.*
FROM 183.6.114.*