注意事项

1，凡是允许用户输入的地方，都是很危险的地方，一定要做检验。

2，不要以为前端JS校验过的数据传到后台就不需要检验了，仍然要验证。

3，在发送XML时，不管是客户端发给服务端，还是服务端发给客户端，标签中的文本内容以及属性值都要用StringEscapeUtil.escapeXML进行转义。

4，同第三条，执行sql时，参数要做escapeSQL处理。

5，连接用完通常都要关闭。

暂时就这些，先记下，以后再加。