在mybatis中，”${xxx}”这样格式的参数会直接参与sql编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“${xxx}”这样的参数格式，所以，这样的参数需要我们在代码中手工进行处理来防止注入。    在编写mybatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。

import org.apache.tools.ant.Project;import org.apache.tools.ant.taskdefs.SQLExec;String linkStr = "jdbc:"+dbaddress+":3306/"+dbname+"?useUnicode=true&characterEncoding=UT

首先在struts.xml中设置以下常量设置：    设置Convention插件是否从jar包中搜索Action类 [可选]默认值为true    name="struts.convention.action.disableJarScanning" value="true" />    设置Convention插件文件协议类型    name="struts.convent