Java 托管架过滤器与参数验证过滤器

我是java安全的新手，我需要为我的项目实现输入验证器，我们正在使用struts 2.5.13，我们正在通过对比安全工具进行测试

我们有一个通过对比工具显示的漏洞，那就是“表达式语言注入”，在我对Owasp网站的研究期间，我看到了两个项目，一个是Stinger过滤器，另一个是参数验证过滤器。我感到困惑，无法决定哪一个更好，也无法为我的申请提供更多保护

任何一位安全专家都可以回答这个问题，我想知道这两个项目的想法，我应该使用哪一个，以及为什么你认为这样更好

---

如果您能提供我一些详细的见解并帮助我理解安全原则，我将非常感谢您。

毒刺和PVF都是古老的。我也不会用。幸运的是，您不需要验证。您需要防止不受信任的输入（如HTTP参数）进入表达式引擎。所以，看看对比度给你的整个堆栈。找出代码中实现这一点的地方。然后修理它。不幸的是，问题可能不在代码中，而在Struts本身。在这种情况下，您应该升级到最新版本。如果这还不能解决问题，那么您就发现了Struts中的一个新漏洞——名利双收。或者，您可以打开对比保护，以防止所有EL漏洞被利用。

安全专家可能会在这里。。。我认为你的问题在这里可能被认为过于宽泛。如果你试图保护你的网站，在互联网上向陌生人提问可能不是正确的方法。请一位专家。