去年的互联网安全大会上，OWASP的一个骨干演示ESAPI JEE中的encodeForSQL出了情况。
公司搞安全审计的时候，我给同事推荐这个,对方因为实施复杂而放弃.
【 在 wwdong 的大作中提到: 】
: 问题是这是脱裤子放P。ESCAPE一下就行了。之所以会被注入完全是因为忘了或者不知道
: ESCAPE。既然都知道转16进制了，那还会忘ESCAPE么？忘ESCAPE的也会忘转16禁止。
:
: ...................
--
修改:dhcn FROM 125.33.88.*
FROM 125.33.77.*