我正在支持一个struts1应用程序,我正在尝试使其通过Fortify扫描。除此之外,我相信struts1应用程序中的所有代码都应该在action类(或action类调用的Java类)中。您不应在JSP中使用JDBC代码或在JSP中使用Bean。正确吗?
[尝试将所有数据访问代码保留在操作类中,并在Struts1操作表单中进行输入验证会产生问题。问题是,如果发生验证错误,将不会再次执行使用现有值预填充编辑屏幕上的字段的代码。因此,当发生验证错误时,所有文本框都将变为空白。用户看到错误消息,告诉他们做错了什么,但是所有现有的预填充值都消失了。
如果在动作类而不是动作表单中进行验证(将动作表单中的validate()方法设置为空),则可以使动作类再次执行并保留预填充的值。我不介意这样做,只要这样做没有任何后果。我的问题是,可以像这样在操作类中而不是在操作表单中进行验证吗?有什么理由不应该这样做吗?
谢谢。
您不应在JSP或JSP中使用的Bean中包含JDBC代码。正确吗?